信息來(lái)源：HackerNews

Debian，Ubuntu，Gentoo，Arch Linux，F(xiàn)reeBSD和NetBSD 使用的壓縮庫(kù)有一個(gè)漏洞，該漏洞可能使黑客能夠在用戶(hù)計(jì)算機(jī)上執(zhí)行代碼。

macOS和Windows操作系統(tǒng)不受該漏洞影響。

CVE-2019-18408

該漏洞影響了Libarchive（一個(gè)用于讀取和創(chuàng)建壓縮文件的庫(kù)）。它是一個(gè)功能強(qiáng)大的多合一工具包，用于處理存檔文件，該工具包還捆綁了其他Linux / BSD實(shí)用程序（例如tar，cpio和cat），使其成為各種操作的理想選擇，也是其在操作中被廣泛采用的原因系統(tǒng)。

上周，Linux和FreeBSD在發(fā)布更新（其中包含Libarchive補(bǔ)?。┲蠊_(kāi)了該漏洞的具體信息。

該漏洞的代號(hào)為CVE-2019-18408，攻擊者可以通過(guò)文件在用戶(hù)系統(tǒng)上執(zhí)行代碼。谷歌安全研究人員使用兩個(gè)名為ClusterFuzz和OSS-Fuzz的自動(dòng)代碼測(cè)試工具識(shí)別了該漏洞，并且漏洞在Libarchive 3.4.0版本中得到了修復(fù)。

影響可能會(huì)更糟

使用Libarchive的操作系統(tǒng)和程序非常之多，這也給黑客提供了很多機(jī)會(huì)。

受影響的包括臺(tái)式機(jī)和服務(wù)器操作系統(tǒng)，程序包管理器，安全實(shí)用程序，文件瀏覽器和多媒體處理工具。比如 pkgutils，Pacman，CMake，Nautilus，KDE的方舟和Samba。

盡管受影響的操作系統(tǒng)已推出更新，但其他應(yīng)用程序中Libarchive的補(bǔ)丁程序狀態(tài)目前未知。

值得慶幸的是，Windows和macOS這兩種當(dāng)今最受歡迎的操作系統(tǒng)均未受到影響。