В 7-Zip обнаружены критические уязвимости, позволяющие удалённо выполнять код

/ ТехнологииНовости / Технологии

Две недавно раскрытые уязвимости в архиваторе 7-Zip могут позволить злоумышленникам выполнять произвольный код, обманом заставляя пользователей открывать вредоносный ZIP-архив. Проблемы, о которых сообщили 7 октября специалисты Zero Day Initiative (ZDI) компании Trend Micro, затрагивают несколько сборок популярного инструмента сжатия с открытым исходным кодом и были тихо исправлены ещё в июле.

Уязвимости, получившие идентификаторы CVE-2025-11001 и CVE-2025-11002, связаны с тем, как 7-Zip обрабатывает символические ссылки внутри ZIP-файлов. По сути, специально созданный архив может выйти за пределы предназначенной для извлечения директории и записывать файлы в другие места системы. При совместном использовании это может привести к полному выполнению кода с теми же привилегиями, что и у пользователя, чего достаточно для компрометации среды Windows. Обе уязвимости имеют базовый балл CVSS 7.0.

Согласно сообщению ZDI, для эксплуатации требуется взаимодействие с пользователем, но этот барьер низок — достаточно просто открыть или извлечь вредоносный архив. После этого уязвимость обхода символьных ссылок может перезаписать или разместить полезные нагрузки в чувствительных путях, позволяя злоумышленнику перехватить выполнение. ZDI классифицирует обе ошибки как «обход директории, приводящий к удалённому выполнению кода в контексте учётной записи службы».

Разработчик 7-Zip Игорь Павлов выпустил версию 25.00 ещё 5 июля, в которой были исправлены эти уязвимости вместе с несколькими менее серьёзными проблемами в обработке архивов RAR и COM. Текущая стабильная сборка 25.01 вышла в августе. Однако публичное раскрытие деталей безопасности не произошло до этой недели, когда были опубликованы сообщения ZDI. Это означает, что пользователи, которые не обновлялись с начала лета, оставались уязвимыми в течение нескольких месяцев, даже не подозревая об этом.

Отсутствие механизма автоматического обновления усугубляет подобные проблемы. 7-Zip необходимо обновлять вручную, и многие пользователи полагаются на старые портативные версии. Даже в корпоративных средах он часто ускользает от систем управления обновлениями, поскольку не устанавливается через Windows Installer или центральный репозиторий.

Ранее в этом году уязвимость CVE-2025-0411 привлекла внимание, позволив злоумышленникам обходить защиту «Mark-of-the-Web» в Windows путём вложения вредоносных ZIP-архивов, эффективно лишая загруженные файлы флагов предупреждения «из интернета». Эта проблема была устранена в версии 24.09.

Для обеспечения защиты загрузите 7-Zip версии 25.01 или новее напрямую с официального сайта проекта. Установщик обновит вашу существующую настройку, не затрагивая предпочтений. Пока вы не обновитесь, избегайте извлечения архивов из непроверенных источников.

Источник: Tomshardware.com

Подписаться на обновления Новости / Технологии
Зарегистрируйтесь на сайте, чтобы отключить рекламу

ℹ️ Помощь от ИИ

В статье есть ошибки или у вас есть вопрос? Попробуйте спросить нашего ИИ-помощника в комментариях и он постарается помочь!

⚠️ Важно:

• AI Rutab читает ваши комментарии и готов вам помочь.
• Просто задайте вопрос 👍
• ИИ может давать неточные ответы!
• ИИ не скажет «Я не знаю», но вместо этого может дать ошибочный ответ.
• Всегда проверяйте информацию и не полагайтесь на него как на единственный источник.
• К ИИ-помощнику можно обратиться по имени Rutab или Рутаб.

0 комментариев

Оставить комментарий

Все комментарии - Технологии