許多人(尤其是 Windows 作業系統用戶)在幫電腦選擇解壓縮軟體時,都會選擇老字號的 WinRAR ,這套軟體雖然要付費,但大家都在試用期滿後繼續使用。
不過,也有不少人會另外選擇一款開放原始碼,完全免費的 7-zip 解壓縮軟體,其輕便、無廣告、高支援度的特性也讓這套老字號的開放原始碼解壓軟體獲得好評。
然而,就在最近一次的更新後不久,有資安團隊發現這套軟體或許會導致使用者的資料出現重大危機。
舊版本大漏洞,可直接存取電腦資料與安裝病毒
最近,來自非營利組職網路安全中心(Center for Internet Security,CIS)的報告指出,舊版本的 7-zip 軟體中含有嚴重的漏洞。根據報告顯示,相關的漏洞可以讓攻擊者直接存取受害者電腦上的資料,而且還可以直接編輯或刪除檔案;除此之外,攻擊者也可以藉此安裝惡意軟體在受害者電腦上,造成進一步的危害。
除此之外,由於攻擊者可以做基本上所有的事情,自然也可以在受害者的電腦上另外建立擁有最高權限的帳號,並進而控制整台電腦。
基本上,這個漏洞等於是讓攻擊者把受害者的電腦「整碗端走」,愛怎麼玩都可以。
由於 7-zip 的開源免費特性,加上過往並沒有傳出重大的資安問題,有許多的公家部門與銀行單位在遇到需要加解壓縮檔案時,也會採用此套軟體,因此若有心人士意圖利用此漏洞,恐將造成重大資安危機。
最新版本已修復
不過,雖然 CIS 目前無法統計到底有多少人因此受害,但他們也表示,目前最新版本的 7-zip (版本編號 18.05)已經將相關漏洞修補完成,使用者可以藉由更新到最新版本來修復此問題。
用戶可以在 7-zip 主視窗上方的工具列中的「說明」→「關於 7-zip」裡面查看目前的軟體版本,若是低於 18.05 版的用戶,可以到此(中文)下載最新檔案,直接安裝後即可升級。
─ ─
參考資料來源:
7-zip 繁體中文版官方網站
Center of Internet Security:A Vulnerability in 7-Zip Could Allow for Arbitrary Code Execution
Inside:開源解壓縮軟體 7-Zip 舊版本發現嚴重漏洞 將使他人完全存取電腦資料
(本文提供合作夥伴轉載,首圖截圖來源:7-zip 軟體使用畫面。)
關於資安,還有這些文章你該先看看
2018 年思科網路安全報告:防毒「窮補漏洞」才是資安危機
中國手機不意外!以色列資安公司:華為、小米、OPPO 手機出廠直接加送惡意軟體
22 歲資安天才:上千頁說明書當點心啃,意外發現 Intel 史上最大漏洞
不會資安的金融單位,竟被請來做國家級資安中心:這單位背景到底有多硬?
【我們政府這樣在犯蠢的】總統府資安週送隨身碟,藏有惡意病毒
