慎用,知名压缩工具7-Zip存在严重漏洞;|注意,有人利用扶贫款进行诈骗!
慎用,知名压缩工具7-Zip存在严重漏洞;
近日,主流文件压缩工具7-Zip被曝存在一个严重的安全漏洞,允许远程攻击者通过精心制作的存档执行恶意代码。该漏洞编号为CVE-2024-11477,CVSS评分7.8分,表明受影响版本的用户面临重大安全风险。
漏洞存在于 Zstandard 解压缩的实现中。此问题是由于未正确验证用户提供的数据而导致的,这可能导致在写入内存之前出现整数下溢。攻击者可以利用此漏洞在当前进程的上下文中执行代码,但要利用此漏洞,需要与此库交互,但攻击媒介可能因实施而异。根据趋势科技安全研究部的Nicholas Zubrisky的说法,攻击者可以通过说服用户打开精心准备的存档来利用此漏洞,这些存档可以通过电子邮件附件或共享文件分发。Zstandard格式在Linux环境中尤为普遍,通常用于各种文件系统,包括Btrfs、SquashFS和OpenZFS。
漏洞影响
-
在受影响的系统上执行任意代码
-
获得与登录用户相同的访问权限
-
可能实现完全的系统绕过
缓解措施和修复
7-Zip已在24.07版本中解决了此安全问题。由于该软件缺乏集成的更新机制,用户必须手动下载并安装最新版本以保护其系统,官网地址:https://www.7-zip.org/
在企业环境中使用7-Zip的IT管理员和软件开发者应立即将其安装更新为已修补的版本。需要注意的是,由于7-Zip钓鱼邮件和带病毒的假冒产品非常多,在搜索引擎中搜索下载时请注意甄别。
该漏洞最初于2024年6月,安全研究人员向7-Zip报告了该漏洞,并于11月20日公开披露。尽管目前没有已知的恶意软件针对此漏洞。,但安全专家强烈建议用户及时修补,因为利用该漏洞所需的技术专业知识最少,这一事件突显了应用程序安全中输入验证的关键重要性,特别是在处理可能不受信任的数据时,使用7-Zip或包含其功能的产品组织和个体应优先更新到最新版本以维护系统安全。
注意,有人利用扶贫款进行诈骗!
11月11日,市民王女士收到贵州某地发来的一个快递,拆开后发现是两张A4纸的宣传页,一张是“专项扶贫资金发放通知书”,另一张是“专项扶贫资金使用协议书”。王女士了解到,只需点击上面的网址,下载“中扶富民”APP,便能领取300万元的国家扶贫款。
巨款当前,王女士没禁得住诱惑,下载并注册了“中扶富民”APP。接着便有一个自称是国家金融监督管理总局审核专员覃本忠的人联系她,告知其符合扶贫条件,只需缴纳扶贫款1%的第三方服务费,即3万元,便能领取。
王女士按照提示填写相关信息并转账后,覃本忠称因其账号填写错误导致账户冻结,需要缴纳3%的解冻费9万元才能放款。王女士再次将9万元打入了指定账户:李某叶的个人账户。
既然是国家扶贫项目,为何要将钱转入个人账户?
确认王女士转账成功后,覃本忠称事后会有人电话回访她,问其扶贫款的用途等问题,之后便会发放扶贫款。
11月17日,王女士接到了一个归属地为江西上饶的电话,称其转到李某叶个人账户中的9万元被卡在了账户通道内,需要再缴纳5万元才能放款,此时王女士才发觉异常,意识到被骗了。但因担心家里人知道自己被骗,王女士一直没敢报警。
11月23日,因家里急需用钱,王女士实在隐瞒不下去了,才向家人道出了自己被骗的经过。最后,在家人的陪同下,王女士到派出所报了警。
该类诈骗,诈骗分子利用受害人对国家扶贫补贴的期望、疏于防范且存在投机侥幸的心理,采取“广撒网”的策略,大范围投送快递,再由专人冒充扶贫工作人员,获取受害人的信任,以能获得大额“扶贫”补助或投资收益为由,诱惑受害人转账汇款,实施诈骗。
公安提醒
不明链接不点击
未知来电不轻信
个人信息不透露
转账汇款多核实
贷款刷流水的都是诈骗
文章来源 :freebuf、寿光公安
精彩推荐
乘风破浪|华盟信安线下网络安全就业班招生中!
【Web精英班·开班】HW加油站,快来充电!