著名的開源壓縮軟體 7-Zip 近日被揭露存在兩個「高嚴重性」安全漏洞,可能讓駭客藉由惡意壓縮檔在使用者電腦上執行任意程式碼。這兩項漏洞由 Trend Micro Zero Day Initiative (ZDI) 發現並通報,編號分別為 CVE-2025-11001 與 CVE-2025-11002 。
漏洞細節:惡意 ZIP 可「越界寫入」與執行程式碼
問題出在 7-Zip 解析 ZIP 檔案中「符號連結(Symbolic Link)」的方式。
透過設計精巧的惡意 ZIP 檔,攻擊者可以讓壓縮檔 逃出原本的解壓縮目錄 ,進而 寫入系統的任意位置 。
若進一步串聯利用,攻擊者甚至能以使用者的權限 執行惡意程式碼 ,對 Windows 使用者構成嚴重威脅。
根據 ZDI 的評估,這兩個漏洞的 CVSS 基本評分為 7.0(高風險) 。
更糟的是, 只要使用者打開或解壓縮惡意壓縮檔,就可能被攻擊 ,幾乎無需額外操作。
已修復但未自動更新:7-Zip 需手動升級!
7-Zip 的開發者 Igor Pavlov 已於 2025 年 7 月 5 日 在 7-Zip 25.00 版本 中修補這些漏洞,並於 8 月推出 25.01 穩定版 。
不過,由於 ZDI 的安全通告直到 10 月才公開,許多使用者並不知道自己仍在使用 存在漏洞的舊版本 。
值得注意的是,7-Zip 並 沒有自動更新機制 。
許多用戶仍在使用舊版甚至是可攜式版本(portable version),特別是在企業環境中,7-Zip 常常 未納入自動修補系統 ,因此更容易被忽略。
建議行動:立即更新至 25.01 版以上
為了避免潛在風險,建議所有使用者:
- 立刻更新至最新版本(25.01 或以上)
? 官方下載頁面:https://www.7-zip.org - 暫時避免解壓縮不明來源的壓縮檔
特別是從網路或陌生郵件取得的 ZIP 檔。 - 企業使用者應納入安全維護機制
定期檢查環境中安裝的 7-Zip 版本,確保所有員工使用安全版本
參考: 流動日報 https://share.google/EDRvmJsaXXGcPUvOa
小結
7-Zip 雖然以輕量、開源與高壓縮效率著稱,但缺乏自動更新機制,讓資安風險容易被忽視。
這次的漏洞提醒我們: 即使是最常用的開源工具,也需要定期更新與維護。
如果你近期沒有手動升級 7-Zip,現在就是時候了。
大家快去下載最新版7z
下載安裝完成記得重新確認版本號喔
雖然有這次問題
但7z依舊是最好用的免費壓縮軟體
留言板
歡迎留下建議與分享!希望一起交流!感恩!