换一换 
7-Zip高危漏洞紧急预警!CVE评分高达8.8,攻击者只需诱骗用户打开一个特制的.7z、.zip或.rar压缩包,无需解压即可在目标电脑上执行任意代码,危害极大。 由于7-Zip没有自动更新功能,修复完全依赖用户手动操作。目前唯一解决方案是立即升级至4月下旬发布的26.01版本,此前所有版本均受影响,请速速更新! 漏洞存在于处理NTFS磁盘镜像的代码中,攻击者可构造内嵌恶意NTFS镜像的压缩包,利用缓冲区校验缺陷实现远程代码执行。 7-Zip通过读取文件头部签名而非扩展名来识别文件,因此即使压缩包伪装成普通.7z或.zip,内部的恶意镜像同样会被触发。不过,漏洞利用需要目标机器至少配备16GB内存。 影响范围极广,不止桌面端。7-Zip命令行版本跨Windows、Linux、macOS均受影响,大量CI/CD流水线、自动化脚本中调用7z命令的场景同样面临高风险。 更严重的是,7-Zip核心库被广泛集成到杀毒软件、备份工具、日志分析系统及各类文件管理器中,这些程序常以高权限运行且自动处理压缩文件,极易被利用。 测试显示,Ubuntu 24、Ubuntu 26、RHEL 8等系统均携带受影响版本,大量Docker镜像和OEM预装系统也未幸免。 据统计,7-Zip累计下载量超4亿次,加上Chocolatey的2450万及无数Linux服务器,全球可能数亿台设备面临风险,务必尽快升级!
