| 思科Talos安全团队的研究人员报告在流行的开源解压缩工具7-Zip中发现多个可利用的漏洞。7-Zip刚刚释出了最新版的v16.00修复了漏洞,使用7-Zip用户建议尽快升级。 研究人员称,7-Zip处理Universal Disk Format(UDF) 文件的方法CInArchive::ReadFileItem存在越界读漏洞,能被任何包含畸形Long Allocation Descriptor的条目触发。另一个可被利用的是堆溢出漏洞,存在于 Archive::NHfs::CHandler::ExtractZlibFile方法中。两个漏洞都是有缺陷的输入验证导致的。数据输入验证对所有软 件的安全都是至关重要的。 |
