趕快更新！7-Zip 驚爆 CVE-2026-48095 高危漏洞，開啟惡意壓縮檔恐被執行任意程式碼

廣受歡迎的開源壓縮軟體7-Zip近期被揭露存在一項嚴重安全漏洞，可能影響全球數以億計的終端設備。此漏洞允許攻擊者透過精心構造的惡意壓縮包，在受害者的系統上執行任意程式碼。一旦使用者不慎打開這些特製檔案，設備就可能面臨被完全控制的風險，因此專家呼籲一般用戶與系統管理員皆應盡速更新軟體。

這項編號為CVE-2026-48095（或GHSL-2026-140）的高危險漏洞，主要發生在7-Zip處理基於NTFS的卷鏡像檔案時的記憶體分配錯誤。這是一個典型的堆積緩衝區溢位（Heap Buffer Overflow）漏洞，當系統處理動態分配記憶體並發生越界寫入時，將破壞原本的記憶體資料，進而賦予攻擊者執行惡意指令的機會。

攻擊門檻降低與潛在風險放大

攻擊情境相對容易達成：攻擊者僅需在壓縮檔內嵌入惡意NTFS鏡像檔，當使用者以受影響的7-Zip版本開啟該檔案時，程式會因計算緩衝區大小異常而分配過小的記憶體空間。這不僅覆蓋了相鄰的堆積區資料，更可能導致應用程式崩潰或遠端程式碼執行。更糟的是，目前網路上已經出現了針對此漏洞的Python概念驗證腳本（PoC），使攻擊門檻大幅降低。

資安研究員特別指出，7-Zip龐大的使用者基數與廣泛的生態圈使其成為此漏洞的風險「放大器」。這款多年來累積下載數億次的免費軟體，不僅有桌面圖形介面，其命令列工具與底層核心庫更被廣泛嵌入各種系統與應用程式中。無論在Windows或Linux環境，未更新的7-Zip元件皆可能成為被攻擊的潛在破口，造成難以預估的後果。

面對此類開源軟體的底層漏洞，我們再次看見「軟體供應鏈安全」的脆弱性。7-Zip作為基礎設施般的存在，其安全漏洞不僅影響終端使用者，更考驗著企業內部的資產盤點能力。即使單一軟體釋出了修補程式，許多隱藏在第三方應用程式中的舊版7-Zip核心庫可能仍被忽視，成為駭客潛伏的溫床。