7-Zip 修補可執行任意程式碼的重大漏洞 全球用戶須立即更新

開源壓縮工具 7-Zip 發布新版本，修補一個被評為嚴重級別的安全漏洞。攻擊者可透過精心設計的惡意 NTFS 映像檔，在使用者解壓縮過程中觸發執行任意程式碼。全球估計有數億使用者使用 7-Zip，必須立即更新至最新版本以避免遭受攻擊。

7-Zip 是最廣泛使用的開源壓縮工具之一，自 1999 年由 Igor Pavlov 開發以來，已成為許多使用者解壓縮 ZIP、RAR、7z、TAR、ISO 等多種格式檔案的首選工具。其優勢包括：完全免費開源、支援多種壓縮格式、提供高效的 7z 自家格式、跨平台支援（Windows、Linux、macOS）、輕量化設計、命令列工具支援等。在全球 Windows 環境中，7-Zip 的安裝率僅次於系統內建解壓縮工具。

新發現的漏洞具體涉及 7-Zip 處理 NTFS 映像檔（.img、.vhd、.vhdx 等格式）的方式。攻擊者可在 NTFS 映像檔中嵌入惡意程式碼，當使用者透過 7-Zip 解壓縮或預覽該檔案時，惡意程式碼會在使用者的權限下執行。這意味著攻擊者可獲取與使用者相同的系統權限，可能進一步竊取資料、安裝後門程式、加密檔案要求贖金（勒索軟體）等。

漏洞的危險性評估顯示嚴重等級。CVSS（Common Vulnerability Scoring System）評分可能達到 8.0 至 9.5 分（滿分 10 分），屬於高度危險的漏洞類別。攻擊複雜度低（攻擊者只需誘使使用者開啟惡意檔案）、攻擊範圍廣（影響所有未更新的 7-Zip 用戶）、潛在影響嚴重（任意程式碼執行）等因素共同造成此一評估。

可能的攻擊情境涵蓋幾個面向。第一是社交工程：攻擊者透過釣魚郵件、惡意網站、社群媒體連結等方式誘使受害者下載並開啟惡意 NTFS 映像檔。第二是供應鏈攻擊：攻擊者入侵軟體下載網站，將惡意檔案偽裝為合法下載。第三是水坑攻擊：在目標族群常造訪的網站植入惡意檔案。第四是內部威脅：透過 USB 隨身碟或內部網路傳遞惡意檔案。

對企業 IT 環境的影響尤其嚴重。許多企業內部廣泛使用 7-Zip 進行檔案壓縮與傳輸，若有員工開啟惡意 NTFS 映像檔，攻擊者可能因此取得企業網路存取權，並進一步進行橫向滲透、資料竊取、勒索軟體部署等多階段攻擊。企業 IT 部門必須立即執行漏洞修補，並可能需要全面審查內部網路是否已被滲透。

從修補建議看，使用者應立即採取以下措施。第一是更新至最新版本：訪問 7-Zip 官方網站（7-zip.org）下載並安裝最新版本。第二是檢查其他系統：若管理多台電腦或伺服器，確保所有設備都已更新。第三是審視近期下載：檢查近期是否曾開啟未知來源的 NTFS 映像檔，如有疑慮可進行病毒掃描。第四是強化 email 過濾：企業 IT 應加強對含 .img、.vhd 等格式附件的 email 過濾規則。

從產業意義看，這次漏洞凸顯開源軟體安全治理的長期挑戰。雖然 7-Zip 是廣為使用的工具，但其開發長期由 Igor Pavlov 一人主導，缺乏大型開源項目（如 Linux 核心、Apache、Kubernetes）的多人協作安全審查機制。這意味著漏洞可能存在較長時間未被發現，且修補速度依賴個別開發者。

對開源軟體安全的更廣泛啟示包括幾個面向。第一是資金投入：許多廣泛使用的開源項目缺乏穩定資金，難以聘請專職資安人員。第二是社群參與：需要更多資安研究人員主動參與開源項目的安全審查。第三是企業責任：使用開源軟體的企業應主動回饋資源（資金、人力、工具）至開源社群。第四是政府支持：政府可透過資安基金、研究計畫等方式支持關鍵開源項目的安全強化。

對台灣資安生態系的影響值得關注。7-Zip 在台灣同樣廣泛使用，本次漏洞可能影響大量台灣使用者。台灣電腦網路危機處理暨協調中心（TWCERT/CC）等資安機構應加強對使用者的警示與更新指引。同時，台灣資安業者可發展自動化的開源軟體漏洞掃描與更新管理工具。

從攻擊者視角看，本次漏洞的公開揭露代表「攻擊機會窗口」的開始。在使用者完成更新前，攻擊者有充足時間開發與部署利用此漏洞的攻擊工具。預期未來幾週內可能看到針對此漏洞的具體攻擊案例，特別是針對企業環境的勒索軟體攻擊。

業界分析人士指出，本次事件再次提醒「軟體更新」是最基本但最重要的資安實務。許多重大資安事件的根源不是未知的零日漏洞，而是使用者未及時更新已知漏洞的修補。培養使用者「立即更新」的習慣，是降低資安風險最有效的方式之一。

對開源軟體未來發展的影響也值得思考。一方面，重大漏洞可能短期內動搖使用者對開源軟體的信心；另一方面，公開的漏洞發現與修補過程也展現開源透明性的優勢。長期而言，開源軟體仍將是全球軟體生態系的核心組成部分，但其安全治理機制需要持續改善。

短期內，7-Zip 用戶應立即執行更新，企業 IT 部門應加強相關防護措施。中長期觀察重點則在於開源軟體社群能否建立更完善的安全治理機制、企業使用者能否更主動參與開源軟體的安全強化、以及全球資安立法是否會對開源軟體業者提出新的安全要求，這些將共同決定開源軟體在全球資安生態系中的長期角色。