NanaZip项目中的Zstandard解压问题分析与修复

问题背景

近期，7-Zip项目中发现了一个编号为CVE-2024-11477的技术问题，该问题影响使用Zstandard压缩算法的文件解压过程。由于NanaZip是基于7-Zip开发的衍生项目，用户自然关心NanaZip是否也受到此问题影响。

问题影响范围分析

通过对NanaZip各版本的代码审查，可以确定：

1. 受影响版本：

   • NanaZip 3.5 Preview 0 (3.5.1000.0)
   • NanaZip 3.0 Update 1 (3.0.1000.0)
   • NanaZip 3.5 Preview 0 (3.5.996.0)
   • NanaZip 3.0 (3.0.996.0)

2. 不受影响版本：

   • NanaZip 3.1 (3.1.1080.0)及更高版本
   • 更早的版本（使用不同的Zstandard解压实现）

技术细节

该问题源于Zstandard解压算法实现中的缓冲区处理不当。特殊构造的压缩文件在解压过程中可能触发内存越界写入，可能导致程序异常。

值得注意的是，NanaZip在Release构建中禁用了动态代码生成功能，这在一定程度上降低了问题的潜在影响，使得即使存在问题也难以被利用来执行非预期操作。

修复方案

NanaZip团队采取了以下措施：

1. 将核心代码更新至7-Zip 24.08主线版本，该版本已修复此问题
2. 发布了NanaZip 5.0 (5.0.1250.0)正式版，确保所有用户都能获得更新

对于使用Microsoft Store安装的用户，NanaZip会自动更新到新版本，无需手动干预。

用户建议

1. 使用NanaZip 3.1或5.0及更高版本
2. 避免在生产环境中使用Preview预览版本
3. 通过官方渠道保持软件更新

总结

NanaZip团队及时响应技术挑战，通过版本更新解决了Zstandard解压中的问题。用户只需确保使用最新稳定版本即可获得安全保障。这也体现了开源项目在技术响应方面的优势——能够快速集成上游修复并发布更新。