上海
開源壓縮工具7-Zip被披露一個CVE評分高達8.8的高危漏洞,攻擊者只需讓用戶打開一個特制壓縮包(.7z、.zip、.rar等),即可在目標機器上執行任意代碼,無需解壓操作。
7-Zip沒有內置自動更新機制,修復完全依賴用戶手動升級或包管理器推送,目前唯一解決方案是升級至4月下旬發布的26.01版本,此前所有版本均受影響。
該漏洞存在于7-Zip處理NTFS磁盤鏡像的代碼中,攻擊者可構造一個內嵌惡意NTFS鏡像的壓縮包,利用緩沖區大小校驗缺陷實現代碼執行。
由于7-Zip不依賴文件擴展名判斷文件類型,而是讀取文件頭部的字節簽名,因此即使壓縮包擴展名為普通的.7z或.zip,內部包裹的惡意NTFS鏡像同樣會被觸發。
不過漏洞利用的前提條件是,目標機器至少配備16GB內存。
影響范圍遠不止桌面端。7-Zip的命令行版本跨多個操作系統均受影響,大量CI/CD工作流中調用7z命令自動處理壓縮包的場景同樣面臨風險。
更棘手的是,7-Zip的核心庫被廣泛集成到殺毒軟件、備份工具、日志分析軟件、惡意軟件自動掃描系統以及各類文件管理器中,這些程序往往以高權限運行且無需用戶干預即可接觸惡意壓縮包。
測試顯示,Ubuntu 24、Ubuntu 26和RHEL 8均攜帶受影響版本,大量Docker鏡像和OEM預裝系統也未能幸免。
SourceForge統計7-Zip下載量超過4億次,加上Chocolatey的2450萬和無數Linux服務器,受影響設備可能達數億臺。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
