近日,Red Hat公司發出緊急公告,警告一款廣泛使用的數據壓縮庫XZ Utils(原名LZMA Utils)的兩個版本中存在惡意程式碼,這一發現震驚了整個軟件開發和網絡安全界。
發現和影響範圍
網路安全研究人員近日在XZ Utils資料壓縮程式庫的5.6.0和5.6.1兩個版本中發現了一個嚴重漏洞(CVE-2024-3094),其CVSS評分達到了最高的10.0,顯示該漏洞具有極高的風險和嚴重性。這一漏洞允許未經授權的遠端訪問,使得駭客能夠遠端操控系統。
駭客可能是透過Tukaani專案的GitHub帳號,分四次提交惡意程式碼至XZ Utils原始碼庫。這種供應鏈攻擊手法不僅難以察覺,而且影響範圍廣泛。目前尚不清楚是該帳號被駭還是存在內部人員作案的可能。
廣泛影響
XZ Utils作為一款廣泛應用的數據壓縮庫,其影響範圍遠超過Linux系統,甚至連MAC OS都在使用,這意味著不僅是Linux用戶,MAC OS用戶也需要提高警覺,檢查自身主機是否升級到了受影響的版本。