Vulnerabilidad en XZ Utils (CVE-2024-47611)

XZ Utils proporciona una librería de compresión de datos de propósito general más herramientas de línea de comandos. Cuando se crean para Windows nativo (MinGW-w64 o MSVC), las herramientas de línea de comandos de XZ Utils 5.6.2 y anteriores tienen una vulnerabilidad de inyección de argumentos en la línea de comandos. Si una línea de comandos contiene caracteres Unicode (por ejemplo, nombres de archivos) que no existen en la página de códigos heredada actual, los caracteres se convierten en caracteres de apariencia similar con una asignación de mejor ajuste. Algunas asignaciones de mejor ajuste dan como resultado caracteres ASCII que cambian el significado de la línea de comandos, lo que se puede explotar con nombres de archivos maliciosos para realizar ataques de inyección de argumentos o de directory traversal. Esta vulnerabilidad se corrigió en 5.6.3. Las herramientas de línea de comandos creadas para Cygwin o MSYS2 no se ven afectadas. liblzma no se ve afectado.