壓縮工具7-Zip發布新版本,修補惡意NTFS映像檔可能導致執行任意程式碼的重大漏洞
來源: iThome(ID: 611)| URL: https://www.ithome.com.tw/news/176155 | 日期: 2026-05-27
內容摘要
7-Zip 發布 26.01 版,修補堆積緩衝區溢位漏洞 CVE-2026-48095(CVSS 8.8),影響 26.00 及以前所有版本。
漏洞詳情
| 項目 | 內容 |
|---|---|
| CVE | CVE-2026-48095 |
| CVSS | 8.8(重大) |
| 類型 | Heap Buffer Overflow |
| 影響版本 | 7-Zip 26.00 及以前 |
| 修補版本 | 26.01 |
攻擊方式
- 透過特製 NTFS 映像檔觸發 NTFS 壓縮資料流緩衝區記憶體配置不足
- 小記憶體系統:DoS
- 16GB 以上記憶體系統:緩衝區溢位並執行任意程式碼
- 7-Zip 依據檔案簽章(非副檔名)判斷,惡意檔案無需特定副檔名
來源
- GitHub Security Lab: GHSL-2026-140_7-Zip