IT之家 5 月 28 日消息,科技媒体 cybersecuritynews 于 5 月 26 日发布博文,披露称在 7-Zip 26.00 及此前版本中, 存在 CVE-2026-48095 高危漏洞, 推荐用户尽快升级到最新 26.01 安全版本 (4 月 27 日发布)。 该漏洞追踪编号为 CVE-2026-48095,类型是堆缓冲区写入溢出。根据披露信息,攻击者通过构造恶意 ZIP 压缩包,可以触发该漏洞,可以执行任意代码,或直接让应用崩溃。 漏洞根因位于 NtfsHandler.cpp 的 CInStream::GetCuSize () 函数。这里用 32 位移位表达式计算 NTFS 压缩单元缓冲区大小:(UInt32)1 << (BlockSizeLog + CompressionUnit)。 当特制 NTFS 镜像把 ClusterSizeLog 设为大于等于 28,且压缩数据属性中的 CompressionUnit 为 4 后,移位指数达到 32,触发 Undefined Behavior(未定义行为)。 在 x86 硬件上,这种未定义行为会让 _inBuf 最终只分配 1 字节。随后程序却在 ReadStream_FALSE 调用中,向这块仅有 1 字节的缓冲区写入最高 256 MB 的攻击者可控数据,由此造成严重的堆缓冲区溢出。 由于 CInStream 对象在堆上距离 _inBuf 仅 304 字节,首次 64 KB 读取就可能覆盖对象的虚函数表指针。 接下来在第 2 次迭代中,程序会通过已被篡改的虚函数表分派调用,形成典型的虚函数表劫持。攻击者可借助精心构造的 NTFS 簇内容控制被覆盖指针,从而把漏洞从内存破坏升级为任意代码执行。 报道指出,32 位和 64 位构建版本都会受影响;在 64 位且内存达到 16 GB 及以上的系统中, _outBuf.Alloc (8 GB) 可能成功,漏洞链可直接走向溢出;低内存设备上影响更可能停留在拒绝服务。 对于普通用户而言,在实际攻击场景下,用户未必需要手动解压大量文件,只要接触到经过特制的 ZIP 文件,就可能面临风险。 该漏洞 CVSS 3.1 评分为 8.8,高危,关联 CWE(通用缺陷枚举)787 越界写入与 190 整数溢出。漏洞由 GitHub Security Lab 的 Jaroslav Lobačevski 发现并负责任披露。 按照披露页面给出的时间线,漏洞于 2026 年 4 月 24 日报告,修复版本 26.01 于 4 月 27 日发布,前后间隔 3 天。 IT之家附上官方下载地址 7-Zip 官方下载地址
IT之家 5 月 22 日消息,科技媒体 cyberkendra 昨日(5 月 21 日)发布博文,报道称 Windows 内核曝出严重漏洞, 攻击者可穿透 Chrome 等主流浏览器,提权至 Windows 11 系统最高权限。 该漏洞追踪编号为 CVE-2026-40369,位于 ntoskrnl.exe 的 nt!ExpGetProcessInformation 函数,CVSS 评分 7.8,影响 Windows 11 24H2 和 25H2,微软已经在本月补丁星期二活动日发布的累积更新中修复。 该漏洞是安全研究者 Paolo Stagno 为 Pwn2Own Berlin 2026 准备,但 CVE 编号在比赛前几天被分配并公开,导致参赛计划中止。 随后研究者 Ori Nimron 在 GitHub 发布三层利用代码:基础 PoC、完整利用程序和 Chrome 沙箱模拟器变体。 根据安全示例,攻击者调用 NtQuerySystemInformation 并传入信息类 253( SystemProcessInformationExtension ),同时将输出缓冲区设为内核地址、长度设为零,即可绕过 ProbeForWrite 校验。 Windows 内核的 ProbeForWrite 机制在长度为零时完全不执行检查,导致未验证的内核指针直接进入 ExpGetProcessInformation 函数。 NtQuerySystemInformation 调用不受 Chrome 的 win32k 锁定、受限 Tokens 或不可信完整性级别检查限制,因此 Chrome、Edge、Firefox 的渲染器沙箱均可触发该漏洞,研究者描述利用成功率为 100% 确定性。 结合开源 prefetch-tool 绕过 KASLR,攻击者可从沙箱内浏览器标签页,通过两步链式攻击获取完整系统控制权。 IT之家附上参考地址 CVE-2026-40369: Arbitrary Kernel Address Increment via NtQuerySystemInformation (Class 253) Arbitrary Kernel Address Increment via NtQuerySystemInformation
IT之家 5 月 14 日消息,科技媒体 cyberkendra 昨日(5 月 13 日)发布博文,报道称 NGINX 被曝一组高危漏洞,已潜伏约 18 年, 威胁全球约三分之一的网络服务器。 IT之家援引博文介绍,本次曝光的漏洞如下: CVE-2026-42945 - (9.2 Critical) CVE-2026-42946 - (8.3 High) CVE-2026-40701 - (6.3 Medium) CVE-2026-42934 - (6.3 Medium) 研究人员称,攻击者无需登录认证,只需发送一条特制 HTTP 请求,就能让 NGINX 工作进程崩溃;在合适条件下,还可能拿到服务器远程代码执行权限。 本次漏洞由 depthfirst 在 4 月扫描 NGINX Codebase(代码库)时发现。报告称,其自动化系统在 6 小时内找到 5 个问题,其中 4 个获 NGINX 确认。 最严重的 CVE-2026-42945 可追溯到 2008 年,长期存在于几乎所有标准 NGINX 构建版本中。由于 NGINX 承载全球约三分之一的网站,这次事件影响面尤其大。 问题出在 ngx_http_rewrite_module 的处理逻辑。简单说,某个内部标志位被设为参数转义状态后没有清掉,后续长度计算按原始字节数估算,但真正写入时却再次转义。 研究人员称,这样一来,攻击者 URI 中的“+”“%”“&”等字符会从 1 字节膨胀到 3 字节,原本够用的缓冲区就会溢出。 depthfirst 已做出可运行的概念验证,显示在关闭 ASLR 的条件下可实现未认证 RCE(远程代码执行)。报告还提到一种理论方法,称攻击者可通过重复请求逐步覆盖指针字节,从而尝试绕过 ASLR。 更麻烦的是,NGINX 的多进程架构在这里反而给了攻击者反复试错机会:某个工作进程崩溃后,主进程会拉起新进程,且堆布局可能保持一致。 修复方面,NGINX Open Source 需升级到 1.31.0 或 1.30.1 ,NGINX Plus 需升级到 R36 P4 或 R32 P6,并重启服务加载修复后的二进制文件。 如果暂时没法升级,官方给出的缓解办法是,把受影响 rewrite 规则中的未命名正则捕获改成命名捕获。原文称,命名捕获不会走到有问题的转义路径,因此能移除当前攻击面。 参考 NGINX Rift: Achieving NGINX Remote Code Execution via an 18-Year-Old Vulnerability