声称的 7
开源文件归档软件的安全性分析
关键要点
7ZIP 安全性 创始人 Igor Pavlov 确认 7ZIP 未受到任何安全问题的影响,尽管有用户声称存在零日漏洞。漏洞声称 声称利用不寻常的 7z 压缩包和 LZMA 流造成 RCNORM 缓冲区溢出,但 Pavlov 否认了该漏洞的真实性。专家质疑 其他专家对漏洞的真实性表示怀疑,发现实验并未成功。开源文件归档软件 7ZIP 的创造者 Igor Pavlov 表示,该软件并未受到最近爆出的漏洞的影响。根据 Security Affairs,一位名为 @NSAEmployee39 的用户在 X 平台上声称,存在一个零日漏洞,可能导致任意代码执行。
据称,该漏洞利用了一种特殊的 7z 压缩包以及不典型的 LZMA 数据流来促成 RCNORM 缓冲区溢出。但 Pavlov 将此漏洞视为虚假,认为其涉及到人工智能生成的代码。
“在 LZMA 解码器中没有 RCNORM 函数。相反,7Zip 在 LZMA 编码器和 PPMD 解码器中包含了 RCNORM 宏。因此,LZMA 解码代码并不会调用 RCNORM。而关于漏洞评论中的 RCNORM 说法是不正确的。” Igor Pavlov
银河加速器app另外,其他专家对这一零日漏洞的真实性也表示了质疑,包括 X 平台上的用户 @LowLevelTweets。
“我已经捣鼓这个 PoC 一个多小时了,什么也做不出来。没有崩溃,没有挂起,也没有超时。” @LowLevelTweets
尽管负面消息引起了一些关注,但目前没有证据表明 7ZIP 存在真正的安全漏洞,用户仍可放心使用该软件进行文件归档和压缩。
