壓縮工具7-Zip發布新版本,修補惡意NTFS映像檔可能導致執行任意程式碼的重大漏洞
漏洞概述
廣獲使用的開源壓縮工具7-Zip近日更新至26.01版,修補了可能導致執行任意程式碼的重大漏洞CVE-2026-48095。攻擊者可利用特製NTFS映像檔(NTFS image)觸發記憶體處理缺陷,進而導致程式當機,甚至執行任意程式碼。
影響範圍
此漏洞影響7-Zip 26.00版以前的所有版本,用戶需儘速更新至已修補的26.01版本以確保系統安全。
相關安全提醒
- 根據iThome報導,7-Zip因處理ZIP檔符號連結的問題,導致攻擊者能透過服務帳號執行程式碼,此漏洞影響24.09以下版本。
- HiNet防毒防駭服務指出,7-Zip存在兩個高風險漏洞,允許攻擊者透過惡意ZIP檔案遠端執行任意程式碼,開發者Igor Pavlov已於2025年7月修復問題。
- 圖書資訊處提醒,因7-Zip不支援自動更新,用戶應立即至官網下載最新版本(25.01)並完成更新。
建議措施
用戶應定期檢查7-Zip版本,並立即更新至最新版本以避免安全風險。同時,應避免從不可信來源下載壓縮檔,以降低惡意檔案的風險。