開源壓縮工具7-Zip被披露一個CVE評分高達8.8的高危漏洞,攻擊者只需讓用戶打開一個特製壓縮包(.7z、.zip、.rar等),即可在目標機器上執行任意代碼,無需解壓操作。
7-Zip沒有內置自動更新機制,修復完全依賴用戶手動升級或包管理器推送,目前唯一解決方案是升級至4月下旬發布的26.01版本,此前所有版本均受影響。
該漏洞存在於7-Zip處理NTFS磁盤鏡像的代碼中,攻擊者可構造一個內嵌惡意NTFS鏡像的壓縮包,利用緩衝區大小校驗缺陷實現代碼執行。
由於7-Zip不依賴文件擴展名判斷文件類型,而是讀取文件頭部的字節簽名,因此即使壓縮包擴展名為普通的.7z或.zip,內部包裹的惡意NTFS鏡像同樣會被觸發。
不過漏洞利用的前提條件是,目標機器至少配備16GB記憶體。
影響範圍遠不止桌面端。7-Zip的命令行版本跨多個作業系統均受影響,大量CI/CD工作流中調用7z命令自動處理壓縮包的場景同樣面臨風險。
更棘手的是,7-Zip的核心庫被廣泛集成到殺毒軟體、備份工具、日誌分析軟體、惡意軟體自動掃描系統以及各類文件管理器中,這些程序往往以高權限運行且無需用戶干預即可接觸惡意壓縮包。
測試顯示,Ubuntu 24、Ubuntu 26和RHEL 8均攜帶受影響版本,大量Docker鏡像和OEM預裝系統也未能倖免。
SourceForge統計7-Zip下載量超過4億次,加上Chocolatey的2450萬和無數Linux伺服器,受影響設備可能達數億台。
