据安全研究人员 @msuhanov 在 6 月 19 日发布的消息,流行的开源压缩管理器 7-Zip 在 24.01 测试版中修复了 CVE-2023-52168 漏洞,该漏洞属于缓冲区溢出问题。
还有个漏洞是 CVE-2023-52169,该漏洞则是缓冲区过度读取问题,这与 Linux ntfs3 驱动程序中的内存泄露漏洞具有相同的机制。
研究人员负责任的将漏洞信息通报给开发者 Igor Pavlov,然而在近期更新日志中开发者并未提到任何与之相关的修复信息,但经过分析 7-Zip 24.01 测试版确实已经完成修复。
这些漏洞对本地用户来说实际上潜在影响比较小,例如攻击者可以使用单个进程处理多个不受信任的文档;然而如果在服务器上使用 7-Zip 就可能引起大问题,例如攻击者可以从远程服务器上窃取大量信息。
如果开发者在服务器上部署了 7-Zip 用来执行在线解压或压缩包文件预览等,这种情况下都有可能被攻击者利用造成数据泄露,因此危害还是非常大的。
此次安全问题最大的争议是开发者为什么没有在更新日志中提到该漏洞,也没有发布任何安全公告说明此事,要不是研究人员发布博客否则大家都不清楚还存在这个漏洞。
实际上该漏洞最初的发现时间是 2023 年 8 月 18 日并在同日通报给开发者,到 2024 年 1 月 31 日 7-Zip v24.01 Beta 版进行修复,后续版本例如最新的 24.07 也已经修复该漏洞。
既然已经修复漏洞好歹也应该发布安全公告,结果因为悄悄修复漏洞而不说明,现在 Igor Pavlov 的行为引起了一些开源社区成员的担忧,因为这可能增加漏洞的利用。
开发者 Igor Pavlov 的说法是,如果发布安全公告透露该漏洞,这可能会增加发生攻击的风险。然而到 6 月 19 日安全研究人员发布博客时,漏洞通报已经 272 天、修复版本发布也已经有 106 天。
显然开发者的这种说法不仅没有道理而且还是错误的,因为不发布公告可能不足以引起一些用户尤其是开发者的关注,这会导致修复版本更新率更慢,如果有黑客也发现了漏洞那么可以扩大攻击面。
因此这种情况下将脑袋埋在沙子里显然是个不明智的做法,这让安全研究人员无法理解 (所以发布了漏洞细节),也让开源社区无法理解。
感谢网友 颜黎明 投递的消息
限时活动推荐:开搜AI智能搜索免费无广告直达结果、全能播放器VidHub支持挂载网盘云播、阿里云服务器99元/年。
最新评论
苹果如果不支持微信,那它就是要退出中国市场了!
自己花钱买的座位,凭什么不能换?
不得不说蓝心妍很漂亮,我喜欢!
人间胸器
去了美颜滤镜,估计就是大妈了!
期待,不过感觉自己可能用不上了!
天涯不是彻底关闭了吗?
感觉长想一般般!