浙江
廣泛使用的開源壓縮工具 7-Zip 再次被曝存在嚴重安全漏洞,攻擊者只需誘導用戶打開特制壓縮包,就可能在受害系統(tǒng)上執(zhí)行惡意代碼。研究人員和安全機構警告,受影響范圍或覆蓋全球數以億計的終端設備,普通用戶和系統(tǒng)管理員應盡快升級到最新版本以降低風險。
此次新披露的安全問題被編號為 GHSL-2026-140,并登記為 CVE-2026-48095。漏洞與 7-Zip 處理基于 NTFS 的卷鏡像文件方式有關,屬于典型的堆內存緩沖區(qū)溢出,即在處理動態(tài)分配內存時出現越界寫入,導致內存數據被破壞,從而為攻擊者執(zhí)行任意代碼提供條件。
威脅情景相對簡單:攻擊者在壓縮包中嵌入惡意構造的 NTFS 鏡像文件,當用戶在受影響版本的 7-Zip 中打開該壓縮包時,程序在計算緩沖區(qū)大小時出現異常,錯誤分配了過小的內存空間,進而覆蓋相鄰堆區(qū)數據,觸發(fā)未定義行為。安全公司 SOC Prime 指出,在不同平臺和內存狀態(tài)下,這一漏洞既可能被用來遠程執(zhí)行代碼,也可能導致應用崩潰或形成拒絕服務攻擊。
CVE-2026-48095 漏洞于 4 月被發(fā)現并私下通報給 7-Zip 開發(fā)團隊。開發(fā)者隨后發(fā)布了 26.01 版本,對相關問題進行了修復。幾天前,官方安全公告正式公開,同時還出現了可利用該漏洞的 Python 概念驗證腳本(PoC),這意味著攻擊利用門檻進一步降低,增加了漏洞被快速武器化的風險。
安全研究人員強調,7-Zip 的用戶基數和生態(tài)擴散效應是該漏洞風險“放大器”。作為一款免費開源的壓縮軟件,7-Zip 多年來已累計被下載數億次,除桌面圖形界面版本外,其命令行工具和底層庫也被廣泛嵌入到各類系統(tǒng)和應用中,用于支持多種壓縮格式。這意味著,無論是在 Windows 還是 Linux 環(huán)境中,運行舊版本 7-Zip 的大量系統(tǒng)都有可能成為潛在攻擊目標,一旦被利用,后果難以預估。
目前來看,唯一有效的緩解措施是盡快升級至 7-Zip 26.01 或更新版本。專家建議,終端用戶應主動檢查本機 7-Zip 版本號,及時從官方渠道下載并安裝最新版本;企業(yè)和機構管理員則需要盡快梳理內部系統(tǒng)、腳本和服務中使用的 7-Zip 組件,統(tǒng)一部署更新,并評估相關資產可能面臨的攻擊面。鑒于公開 PoC 已經出現,留給未打補丁系統(tǒng)的“緩沖期”可能相當有限。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
