开源文件归档软件的安全性分析

关键要点

• 7-ZIP 安全性 : 创始人 Igor Pavlov 确认 7-ZIP 未受到任何安全问题的影响，尽管有用户声称存在零日漏洞。
• 漏洞声称 : 声称利用不寻常的 .7z 压缩包和 LZMA 流造成 RC_NORM 缓冲区溢出，但 Pavlov 否认了该漏洞的真实性。
• 专家质疑 : 其他专家对漏洞的真实性表示怀疑，发现实验并未成功。

开源文件归档软件 7-ZIP 的创造者 Igor Pavlov 表示，该软件并未受到最近爆出的漏洞的影响。根据 ，一位名为 @NSA_Employee39 的用户在 X平台上声称，存在一个零日漏洞，可能导致任意代码执行。

据称，该漏洞利用了一种特殊的 .7z 压缩包以及不典型的 LZMA 数据流来促成 RC_NORM 缓冲区溢出。但 Pavlov将此漏洞视为虚假，认为其涉及到人工智能生成的代码。

“在 LZMA 解码器中没有 RC_NORM 函数。相反，7-Zip 在 LZMA 编码器和 PPMD 解码器中包含了 RC_NORM
宏。因此，LZMA 解码代码并不会调用 RC_NORM。而关于漏洞评论中的 RC_NORM 说法是不正确的。” — Igor Pavlov

另外，其他专家对这一零日漏洞的真实性也表示了质疑，包括 X 平台上的用户 @LowLevelTweets。

“我已经捣鼓这个 PoC 一个多小时了，什么也做不出来。没有崩溃，没有挂起，也没有超时。” — @LowLevelTweets

尽管负面消息引起了一些关注，但目前没有证据表明 7-ZIP 存在真正的安全漏洞，用户仍可放心使用该软件进行文件归档和压缩。