紧急提醒:5月29日,开源压缩工具7-Zip被披露存在一个CVE评分高达8.8的严重安全漏洞。该漏洞的危险性在于,攻击者只需诱导用户打开一个特制的压缩包——无论是.7z、.zip还是.rar格式——即可在目标设备上直接执行任意代码。更关键的是,用户无需解压压缩包,仅通过预览操作就可能触发攻击。
这一漏洞确实令人警惕,但更严峻的问题还在后面。
7-Zip缺乏内置的自动更新机制。这意味着它不会像多数现代软件那样在后台静默安装补丁。修复漏洞完全依赖于用户手动版本更新,或通过系统包管理器进行推送。目前唯一有效的解决方案是升级至4月下旬发布的26.01版本。在此之前的所有7-Zip版本均受此漏洞影响,无一例外。
漏洞根源在于7-Zip处理NTFS磁盘镜像的代码中存在缺陷。攻击者可以构造一个内嵌恶意NTFS镜像的压缩包,并利用缓冲区大小校验的漏洞,实现任意代码执行。
有人可能会想:修改文件扩展名是否能规避风险?答案是并不能。7-Zip判断文件类型时不依赖扩展名,而是直接读取文件头部的字节签名。因此,即使压缩包的扩展名看似普通的.7z或.zip,只要其中包含了恶意的NTFS镜像,漏洞依然会被触发。
不过无需过度恐慌,此漏洞的利用存在一个硬性前提:目标设备至少需要配备16GB内存。这意味着内存配置较低的设备暂时不受此攻击影响。
然而,如果认为该漏洞仅影响桌面端,那就错了。7-Zip的命令行版本同样跨多个操作系统受影响。在许多CI/CD工作流中,常常会调用7z命令自动处理压缩包,这些环境同样面临风险。
更为棘手的是,7-Zip的核心库已被广泛集成到多种软件中,包括杀毒软件、备份工具、日志分析软件、恶意软件自动扫描系统以及各类文件管理器。这些程序通常以高权限运行,并且无需用户操作即可自动处理压缩包。一旦漏洞被成功利用,其后果将非常严重。
测试表明,Ubuntu 24、Ubuntu 26以及RHEL 8均包含受影响的7-Zip版本。大量Docker镜像和OEM预装系统也难以幸免。
从数据来看,影响范围极为广泛。SourceForge统计显示,7-Zip的累计下载量已超过4亿次,再加上Chocolatey平台上的2450万次下载,以及无数Linux服务器中的部署,受影响的设备可能高达数亿台。
这是7-Zip的一大硬伤:缺乏自动更新机制,同时用户覆盖面极广。因此,如果你的设备或你接触的系统中仍在使用旧版7-Zip,现在正是升级至26.01版本的最佳时机。

