据安全研究人员@msuhanov在6月19日发布的消息，流行的开源压缩管理器7-Zip在24.01测试版中修复了CVE-2023-52168 漏洞，该漏洞属于缓冲区溢出问题。

还有个漏洞是CVE-2023-52169，该漏洞则是缓冲区过度读取问题，这与Linux ntfs3驱动程序中的内存泄露漏洞具有相同的机制。

研究人员负责任的将漏洞信息通报给开发者Igor Pavlov，然而在近期更新日志中开发者并未提到任何与之相关的修复信息，但经过分析7-Zip 24.01测试版确实已经完成修复。

这些漏洞对本地用户来说实际上潜在影响比较小，例如攻击者可以使用单个进程处理多个不受信任的文档；然而如果在服务器上使用7-Zip就可能引起大问题，例如攻击者可以从远程服务器上窃取大量信息。

如果开发者在服务器上部署了7-Zip用来执行在线解压或压缩包文件预览等，这种情况下都有可能被攻击者利用造成数据泄露，因此危害还是非常大的。

此次安全问题最大的争议是开发者为什么没有在更新日志中提到该漏洞，也没有发布任何安全公告说明此事，要不是研究人员发布博客否则大家都不清楚还存在这个漏洞。

实际上该漏洞最初的发现时间是2023年8月18日并在同日通报给开发者，到2024年1月31日7-Zip v24.01 Beta版进行修复，后续版本例如最新的24.07也已经修复该漏洞。

既然已经修复漏洞好歹也应该发布安全公告，结果因为悄悄修复漏洞而不说明，现在Igor Pavlov的行为引起了一些开源社区成员的担忧，因为这可能增加漏洞的利用。

开发者Igor Pavlov的说法是，如果发布安全公告透露该漏洞，这可能会增加发生攻击的风险。然而到6月19日安全研究人员发布博客时，漏洞通报已经272天、修复版本发布也已经有106天。

显然开发者的这种说法不仅没有道理而且还是错误的，因为不发布公告可能不足以引起一些用户尤其是开发者的关注，这会导致修复版本更新率更慢，如果有黑客也发现了漏洞那么可以扩大攻击面。

因此这种情况下将脑袋埋在沙子里显然是个不明智的做法，这让安全研究人员无法理解 (所以发布了漏洞细节)，也让开源社区无法理解。