近日,非营利组织网络安全中心(Center for Internet Security,简称CIS)近日发现,在7-Zip中发现了一个漏洞,该漏洞可能允许任意代码执行。7-Zip是一款免费的开源压缩软件。成功利用此漏洞可能允许任意代码执行。
根据与用户关联的特权,攻击者可以安装程序, 查看,更改或删除数据;或创建具有完整用户权限的新帐户。其帐户被配置为拥有较少用户权限的用户受影响的程度可能低于具有管理用户权限的用户。
受影响的版本:
18.05之前的7-Zip版本
我们建议采取以下措施:
在适当的测试后,立即将7-Zip提供的更新应用到易受攻击的系统。
将所有软件作为非特权用户(没有管理特权的用户)运行,以减少成功攻击的影响。
将最小特权原则应用于所有系统和服务。
参考链接:
https://www.cisecurity.org/advisory/a-vulnerability-in-7-zip-could-allow-for-arbitrary-code-execution_2018-049/
领取专属 10元无门槛券
私享最新 技术干货