7-Zip压缩软件
软件类型:压缩解压 软件大小:1.60MB 软件平台:WinALL 软件语言:简体
标签:7-Zip压缩解压
查看详情
近日,科技媒体bleepingcomputer发布报道指出,压缩工具7-Zip被检测出存在高危漏洞(CVE-2025-0411)。借助这一漏洞,攻击者能够绕过Windows系统的“网络标记”(MotW)安全机制,使得用户在解压嵌套压缩包内的恶意文件时,有可能引发恶意代码的执行。基于此,建议用户尽快更新至2024年11月30日推出的24.09版本。
从2022年6月开始,7-Zip 22.00版本新增了对“网络标记”(MotW)功能的支持,该功能能够自动给从下载的压缩包中提取出来的文件添加MotW标记。
这个标记会告知操作系统、浏览器和其他应用程序,这些文件或许来自不可靠的来源,需要小心处理。比如,当用户双击带有MotW标记的可执行文件或者打开相关文档时,会收到安全提示,Microsoft Office也会用“保护视图”来打开文档,并且禁用宏之类的功能。
该漏洞的主要成因是7-Zip在处理带有MotW标记的压缩包时,没有将这一标记传递给解压后的文件,这让解压环节存在安全隐患,进而使攻击者有机会执行任意代码。
Trend Micro的报告显示,此漏洞的利用需要用户进行交互操作,像用户浏览恶意网页或者打开恶意文件这类情况,攻击者就能够创建带有MotW标记的特殊压缩包。
其中就内含有嵌套的恶意文件。
当用户使用存在安全漏洞的 7-Zip 版本解压该压缩包时,因 MotW 标记未被正确传播,恶意文件会绕过安全警告直接执行。
7-Zip的开发者Igor Pavlov在2024年11月30日推出了24.09版本,这个版本修复了该漏洞。不过,由于7-Zip没有自动更新的功能,不少用户依然在使用存在安全隐患的旧版本,因此面临着被恶意软件入侵的风险。在此之前,像DarkGate、Water Hydra这类黑客组织就曾利用过类似的MotW绕过漏洞来传播恶意软件。
推荐阅读
热门游戏更多>>
-
夏哈塔1.01正式版
冒险解谜
发布:2024/8/8评分:8.8
-
哆啦A梦世界X0.9汉化版
角色扮演
发布:2024/7/30评分:9.5
-
syahatasbadday最新内置菜单
冒险解谜
发布:2024/7/19评分:7.9
-
珍妮模组文件压缩包
冒险解谜
发布:2024/7/31评分:7
-
星陨计划
角色扮演
发布:2024/7/25评分:7.8
-
风息伴叶烦人的村民
冒险解谜
发布:2024/8/8评分:7.5
-
夏哈塔0.88.4版本
角色扮演
发布:2024/8/6评分:9.2
-
珍妮模组文件包
冒险解谜
发布:2024/8/6评分:9.5