资讯
近日消息,网络上出现了这样一则消息,有用户宣称发现了针对广受欢迎的流行开源解压工具7 - Zip的零日漏洞利用代码。此消息一出,立刻引起了广泛的关注。
但是,7 - Zip的作者Igor Pavlov迅速做出反应,他坚决地驳斥这一说法,认定这是虚假消息。Igor Pavlov在相关领域有着深厚的专业知识和丰富的经验,他的判断具有很高的可信度。
尽管如此,有关 7-Zip 存在任意代码执行 (ACE) 漏洞的消息还是迅速传播开来。
在 Sourceforge.net 网站上,Igor Pavlov 亲自通过一系列评论澄清了此事,他表示,“推特上的虚假利用代码很可能是由大语言模型生成。”他进一步解释说,“该代码注释中提到:‘此漏洞利用代码针对 7-Zip 软件的 LZMA 解码器,使用精心设计的 .7z 存档和畸形的 LZMA 流触发 RC_NORM 函数的缓冲区溢出。’ ”
Igor Pavlov 接着指出,“但 LZMA 解码器中根本不存在 RC_NORM 函数。7-Zip 中的 RC_NORM 宏定义仅用于 LZMA 编码器和 PPMD 解码器。因此,LZMA 解码代码不会调用 RC_NORM 函数。漏洞利用代码注释中关于 RC_NORM 的说法是错误的。”
由于 7-Zip 是开源软件,并且没有证据表明这位自称“NSA 雇员”的用户真的发布了零日 ACE 漏洞利用代码,因此广大用户似乎不必为此感到担忧。
如果用户仍对此事有所顾虑,建议在下载来源不明的 7-Zip 兼容存档文件时进行安全扫描。根据描述,该漏洞利用代码需要用户打开包含漏洞的恶意存档才能生效。总之所有权威消息来源都一致认为该漏洞为虚假信息,漏洞代码和相关注释均由人工智能生成,并非真正的黑客所为。
文明上网,理性发言,共同做网络文明传播者