7-Zip高危漏洞：打开压缩包即中招，快升级26.01版本

1 0 0

漏洞细节非常惊人

为CVE – 2026 – XXXX的此编号漏洞, 评分高达8.8分, 归属高危级别, 攻击者只需使你开启一个特制压缩包, 像常见的.7z、.zip或者.rar文件, 便能在你电脑上执行任意代码, 更可怖的是, 你甚至无需解压该文件, 只要运用7 – Zip浏览压缩包内容, 恶意代码便会自动触发, 此漏洞于2026年3月被安全研究团队发现, 随后向开发团队报告。

问题出在NTFS镜像处理

有一个漏洞, 它处在7-Zip处理NTFS磁盘镜像的代码当中。攻击者能够构造出一个压缩包, 压缩包里面嵌入了恶意的NTFS镜像, 通过利用缓冲区大小校验方面的缺陷来达成代码执行。详细来讲, 7-Zip在解析NTFS镜像之际会去分配固定大小的缓冲区, 然而攻击者能够构造超长的数据, 使得这个缓冲区发生溢出, 进而覆盖掉内存里的其他指令序列。7-Zip不能仅依据文件扩展名来判定文件的类型, 它是通过读取文件头部的字节签名来进行识别的, 所以哪怕压缩包的扩展名是常见的.7z, 然而内部所包裹的恶意NTFS镜像照样会被触发。

修复完全依赖手动升级

不能够自动更新, 7-Zip没有内置这样的机制, 修复完全得依靠用户手动去升级, 或者借助包管理器来推送。目前唯一能解决问题的办法, 是升级到在四月下旬发布的26.01版本, 在此之前发布的所有版本都受到了影响。对于普通用户而言, 这就意味着得亲自去打开7-Zip的官网, 然后下载新版本, 又或者等待系统包管理器来推送。然而对于企业的IT管理员来讲, 这就需要去排查在内网所有机器上面的7-Zip版本, 工作量非常巨大。

影响范围远超桌面端

7-Zip的命令行版本, 在跨越多个操作系统的情况下, 都受到了影响, 大量在CI/CD工作流里, 调用7z命令来自动处理压缩包的场景, 同样面临着风险, 测试表明, Ubuntu 24、Ubuntu 26以及RHEL 8, 都携带了受影响版本, 大量的云镜像和OEM预装系统, 也没能避免这种情况。更麻烦的是, 7-Zip的核心库被大量融合至杀毒软件里, 还被集成到备份工具中, 也被纳入日志分析软件内, 同样被整合到恶意软件自动扫描系统中, 甚至被集成到各类文件管理器中, 这些程序常常以高权限运行, 并且无需用户进行干预情况之下就能接触到恶意压缩包。

利用条件必须16GB内存

需以目标机器至少配备16GB内存为漏洞利用的前提条件, 这致使服务器以及高端工作站成主要攻击目标, 大量8GB内存的办公电脑在此期间暂处安全状态。然而鉴于2026年新出厂电脑普遍标配16GB以上内存, 此限制会随时间流逝变得毫无意义。就云服务器而言, 诸多实例类型默认配备32GB或64GB内存, 这些机器均是潜在攻击目标。

数亿设备面临直接风险

将7-Zip的下载量予以统计, 其超过了4亿次, 再加上Linux发行版自身所带的数量, 此数量达到了2450万, 并且还有无数部署于服务器上的命令行版本, 由此受影响的设备, 其数量有可能达到数亿台。安全团队给出建议, 建议所有用户马上对当前7-Zip的版本号展开检查。要是你所使用的是26.01之前的任一版本, 那就请即刻前往7-Zip官网去下载最新的版本。与此同时, 要格外留意那些会自动调用7z命令的脚本以及程序, 对于它们所引用的二进制文件, 需要尽快去进行更新。直至当下之时, 仍未寻觅到野外被取用的实例, 然而鉴于相关漏洞之细节已然披露之事, 进行攻击之人极有可能正于着手制作能够付诸使用的攻击方面的代码。