从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞类型:命令行注入(Argument Injection)。 - 受影响版本:XZ Utilities 5.6.2 和更早版本。 - 修复版本:XZ Utilities 5.6.3。 - 受影响平台:Windows。 2. 漏洞影响: - 当构建为原生 Windows(MinGW-w64 或 MSVC)时,命令行工具从 XZ Utilities 5.6.2 和更早版本存在命令行注入漏洞。 - 命令行工具在 Cygwin 或 MSYS2 上不受影响。 - liblzma 不受影响。 3. 漏洞细节: - 当命令行包含 Unicode 字符(例如,文件名)时,这些字符会被转换为类似看起来的字符,但使用最佳匹配映射。 - 一些最佳匹配映射会导致 ASCII 字符,这些字符可以被恶意文件名利用进行命令行注入或目录遍历攻击。 4. 发现者: - 该问题由 Orange Tsai 和 splitline 从 DEVCORE 研究团队发现。 5. 修复措施: - XZ Utilities 5.6.3(以及在 v5.4 和 v5.2 分支中回滚的提交)强制进程代码页为 UTF-8,这可以避免最佳匹配映射。 - 强制进程代码页为 UTF-8 只能在 Windows 10 版本 1903 及以后的版本上实现。 - 命令行工具在使用旧版本的 Windows 时仍然存在漏洞。 6. 兼容性注意事项: - 在 Windows 10 版本 1903 或更晚的版本上,UTF-8 现在是使用 和 选项读取文件列表的预期编码。 - 如果使用 MinGW-w64 工具链构建,建议使用 UCRT 版本而不是旧的 MSVCRT。使用 UTF-8 编码页时,带有非 ASCII 字符的消息在使用 MSVCRT 时不会正确显示。 这些信息可以帮助理解漏洞的性质、影响范围以及修复措施。