思科 Talos 安全团队的研究人员报告(*1)在流行的开源解压缩工具 7-Zip 中发现多个 可利用的漏洞。 7-Zip 刚刚释出了最新版的 v16.00(*2) 修复了漏洞，使用 7-Zip 用户建议尽快升级。 研究人员称，7-Zip 处理 Universal Disk Format(UDF) 文件的方法 CInArchive::ReadFileItem 存在越界读漏洞，能被任何包含畸形 Long Allocation Descriptor 的条目触发。 另一个可被利用的是堆溢出漏洞，存在於 Archive::NHfs::CHandler::ExtractZlibFile 方法中。 两个漏洞都是有缺陷的输入验证导致的。 数据输入验证对所有软件的安全都是至关重要的。 *1: http://blog.talosintel.com/2016/05/multiple-7-zip-vulnerabilities.html *2: http://www.7-zip.org/download.html http://www.solidot.org/story?threshold=0&mode=flat&sid=48200 -- http://i.imgur.com/Fk1YLV7.png --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 118.161.83.41 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/EZsoft/M.1463159306.A.245.html