壓縮工具7-Zip發布新版本,修補惡意NTFS映像檔可能導致執行任意程式碼的重大漏洞

來源: iThome(ID: 611)| URL: https://www.ithome.com.tw/news/176155 | 日期: 2026-05-27

內容摘要

7-Zip 發布 26.01 版,修補堆積緩衝區溢位漏洞 CVE-2026-48095(CVSS 8.8),影響 26.00 及以前所有版本。

漏洞詳情

項目內容
CVECVE-2026-48095
CVSS8.8(重大)
類型Heap Buffer Overflow
影響版本7-Zip 26.00 及以前
修補版本26.01

攻擊方式

  • 透過特製 NTFS 映像檔觸發 NTFS 壓縮資料流緩衝區記憶體配置不足
  • 小記憶體系統:DoS
  • 16GB 以上記憶體系統:緩衝區溢位並執行任意程式碼
  • 7-Zip 依據檔案簽章(非副檔名)判斷,惡意檔案無需特定副檔名

來源

  • GitHub Security Lab: GHSL-2026-140_7-Zip

衍生頁面