昨日,一位名为NSA员工39的用户在Twitter上宣称发布了针对广受欢迎的开源文件解压工具7-Zip的零日漏洞,但7-Zip的开发者伊戈尔·帕夫洛夫迅速回应称这是一则假消息。
在NSA员工39的推文下,许多回复者对这些声明和文章的写作风格表示怀疑,有人猜测这可能是通过人工智能程序ChatGPT生成的。尽管如此,关于7-Zip可能存在任意代码执行漏洞的消息迅速传播开来。现在,像我们这样的媒体或一些独立的调查者需要找到伊戈尔·帕夫洛夫对这起明显的虚假漏洞报告的回应。
在Sourceforge.net上,伊戈尔·帕夫洛夫亲自出面澄清,并发表了一系列的官方评论。他表示:“普遍的看法是,Twitter上的这个假漏洞代码是由人工智能生成的。”他进一步解释说:“在‘假’代码中的评论提到:‘这个漏洞针对7-Zip软件中的LZMA解码器的一个漏洞。它利用一个精心制作的.7z压缩文件,其中包含一个畸形的LZMA流,以触发RC_NORM函数中的缓冲区溢出。’”
然而,LZMA解码器中并没有RC_NORM这个函数。实际上,7-Zip中包含的是LZMA编码器和PPMD解码器中的RC_NORM宏。因此,LZMA解码代码并不会调用RC_NORM。而关于漏洞评论中提到的RC_NORM是不正确的。
由于7-Zip是开源的,目前我们只看到了支持伊戈尔·帕夫洛夫声明的用户,而不是那些所谓的“NSA员工”在Twitter上鲁莽地发布零日漏洞。看来,这个问题并不是最终用户需要担心的。如果你对此特别担心,我们建议你通过安全扫描任何不熟悉的7-Zip兼容压缩文件来降低风险。正如所描述的,漏洞仍然需要用户打开内置7-Zip漏洞的污染压缩文件。
最权威的呼声都指向这个漏洞是假的,其周围的评论是由人工智能编写的,甚至不是由一个真正的辛勤工作的黑客编写的。真是令人遗憾。
