7-Zip悄然修正某个安全漏洞没有发布公告 其他根据7z的压缩软件也需更新

据安全研究人员 @msuhanov 在 6 月 19 日发布的音讯，盛行的开源紧缩管理器 7-Zip 在 24.01 测试版中修正了 CVE-2023-52168 缝隙，该缝隙归于缓冲区溢出问题。

还有个缝隙是 CVE-2023-52169，该缝隙则是缓冲区过度读取问题，这与 Linux ntfs3 驱动程序中的内存走漏缝隙具有相同的机制。

研究人员负责任的将缝隙信息通报给开发者 Igor Pavlov，但是在近期更新日志中开发者并未说到任何与之相关的修正信息，但通过剖析 7-Zip 24.01 测试版的确现已完结修正。

这些缝隙对本地用户来说实际上潜在影响比较小，例如进犯者能够运用单个进程处理多个不受信赖的文档；但是假如在服务器上运用 7-Zip 就或许引起大问题，例如进犯者能够从长途服务器上盗取很多信息。

假如开发者在服务器上布置了 7-Zip 用来履行在线解压或紧缩包文件预览等，这种情况下都有或许被进犯者使用形成数据走漏，因而损害仍是非常大的。

此次安全问题最大的争议是开发者为什么没有在更新日志中说到该缝隙，也没有发布任何安全公告阐明此事，要不是研究人员发布博客不然我们都不清楚还存在这个缝隙。

实际上该缝隙开始的发现时刻是 2023 年 8 月 18 日并在同日通报给开发者，到 2024 年 1 月 31 日 7-Zip v24.01 Beta 版进行修正，后续版别例如最新的 24.07 也现已修正该缝隙。

已然现已修正缝隙好歹也应该发布安全公告，成果由于悄然修正缝隙而不阐明，现在 Igor Pavlov 的行为引起了一些开源社区成员的忧虑，由于这或许添加缝隙的使用。

开发者 Igor Pavlov 的说法是，假如发布安全公告泄漏该缝隙，这或许会添加产生进犯的危险。但是到 6 月 19 日安全研究人员发布博客时，缝隙通报现已 272 天、修正版别发布也现已有 106 天。

明显开发者的这种说法不只没有道理并且仍是过错的，由于不发布公告或许不足以引起一些用户尤其是开发者的重视，这会导致修正版别更新率更慢，假如有黑客也发现了缝隙那么能够扩展进犯面。

因而这种情况下将脑袋埋在沙子里明显是个不明智的做法，这让安全研究人员无法了解 (所以发布了缝隙细节)，也让开源社区无法了解。

感谢网友 颜拂晓 投递的音讯

限时活动引荐：开搜AI智能查找免费无广告直达成果、万能播放器VidHub支撑挂载网盘云播、阿里云服务器99元/年。