
Para peneliti keamanan dari Lunbun LLC menemukan kerentanan heap-based buffer overflow pada 7-Zip yang memungkinkan penyerang mengeksekusi kode arbitrer saat pengguna membuka file arsip berbahaya. Kerentanan yang ditetapkan sebagai CVE-2026-14266 (juga dilacak sebagai ZDI-26-444) ini memiliki CVSS score 7.0 dan telah diperbaiki pada versi 7-Zip 26.0.
APA YANG TERJADI?
Landon Peng dari Lunbun LLC melaporkan kerentanan kritis pada 7-Zip, salah satu utilitas arsip yang paling banyak digunakan di dunia. Kerentanan ini terletak pada mekanisme penanganan data XZ chunked, di mana pembacaan data yang tidak tepat dapat menyebabkan heap-based buffer overflow. Dengan memanfaatkan overflow ini, penyerang dapat mengeksekusi kode arbitrer pada sistem korban.
Yang membuat kerentanan ini semakin berbahaya adalah vector serangannya yang sangat sederhana: cukup dengan membuat pengguna membuka atau mengekstrak file arsip berbahaya yang dirancang khusus. 7-Zip sangat populer dan digunakan secara luas di berbagai platform, sehingga potensi dampak kerentanan ini sangat signifikan.
DETAIL TEKNIS
CVE-2026-14266 diklasifikasikan sebagai heap-based buffer overflow dengan CVSS v3.1 score 7.0 (AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H). Vulnerability ini terletak di komponen penanganan XZ chunked data dalam proses decompression. Ketika 7-Zip memproses data XZ dengan struktur chunked yang dimanipulasi, terjadi overflow pada heap memory yang dapat dimanfaatkan untuk menulis data arbitrer.
Attack vector menggunakan local access (AV:L) dengan attack complexity tinggi (AC:H), yang berarti penyerang perlu kondisi tertentu agar eksploitasi berhasil. Namun, requirement untuk user interaction hanya berupa pembukaan file (UI:R) — sesuatu yang sangat mungkin terjadi dalam skenario phishing atau distribution file melalui email.
7-Zip versi 26.0 telah dirilis dengan perbaikan untuk kerentanan ini. Pengguna disarankan untuk segera memperbarui instalasi 7-Zip mereka, baik pada Windows, Linux, maupun platform lainnya.
DAMPAK TERHADAP INDONESIA
7-Zip merupakan salah satu utilitas arsip yang paling banyak digunakan di Indonesia, mulai dari pengguna individu hingga institusi pemerintah dan korporat. Dalam konteks serangan phishing yang semakin canggih di Indonesia, CVE-2026-14266 membuka peluang baru bagi penyerang untuk mengeksekusi kode pada sistem korban melalui file arsip berbahaya.
Banyak organisasi Indonesia yang masih menggunakan versi 7-Zip yang sudah usang tanpa menyadari pentingnya pembaruan berkala. PDP Law menuntut bahwa setiap sistem yang memproses data pribadi harus memiliki keamanan yang memadai, dan menggunakan perangkat lunak dengan kerentanan yang sudah diketahui dapat dianggap sebagai kelalaian.
REKOMENDASI MITIGASI
1. Segera perbarui 7-Zip ke versi 26.0 atau yang lebih baru. 2. Audit seluruh instalasi 7-Zip di seluruh endpoint organisasi. 3. Implementasikan application whitelisting. 4. Latih pengguna untuk tidak membuka file arsip dari sumber tidak tepercaya. 5. Implementasikan email gateway filtering untuk arsip berbahaya. 6. Pertimbangkan sandboxing saat mengekstrak file arsip dari sumber eksternal.
Analisa Retasan
Kerentanan heap buffer overflow pada 7-Zip ini menyoroti isu penting dalam keamanan siber: utilitas yang sering dianggap sepele justru menjadi target yang sangat berharga bagi penyerang. 7-Zip dipasang di jutaan komputer di seluruh dunia, sering kali tanpa mekanisme pembaruan otomatis yang aktif, dan digunakan secara rutin untuk mengekstrak file dari sumber eksternal. Kombinasi faktor-faktor ini menjadikan 7-Zip sebagai vector serangan yang sangat efektif.
Mekanisme exploitasi yang memanfaatkan XZ chunked data handling menunjukkan bahwa attack surface pada aplikasi arsip lebih luas dari yang sering diasumsikan. Ini mengingatkan pada insiden XZ Utils backdoor (CVE-2024-3094) yang mengguncang komunitas keamanan siber, di mana komponen compression library menjadi vector untuk supply chain attack. Pola exploitasi yang menargetkan komponen decompression juga mengingatkan pada kerentanan serupa di WinRAR (CVE-2023-38831) yang dimanfaatkan oleh APT groups.
Untuk organisasi Indonesia, pelajaran dari kerentanan ini adalah pentingnya patch management yang komprehensif — tidak hanya untuk operating system dan aplikasi utama, tetapi juga untuk utilitas yang sering diabaikan seperti 7-Zip dan Notepad++. BSSN dan Kementerian Kominfo perlu mengeluarkan guidance yang secara spesifik membahas patch management untuk aplikasi utilitas, karena banyak organisasi Indonesia yang memiliki kebijakan patching yang hanya mencakup OS dan Microsoft Office. Mengingat 7-Zip tidak memiliki auto-update mechanism bawaan, organisasi perlu mengimplementasikan centralized deployment management.
Sumber: GBHackers — 7-Zip Vulnerability Lets Attackers Trigger Heap Buffer Overflow Using Malicious Files

