Сегодня 05 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В популярнейшем архиваторе 7-Zip обнаружены две уязвимости, позволяющие удалённо взламывать ПК

Исследователи безопасности выявили две критические уязвимости в популярной программе сжатия данных 7-Zip, которые позволяют злоумышленникам выполнять произвольный код на компьютере жертвы, если пользователь откроет или извлечёт содержимое специально сформированного ZIP-архива.

 Источник изображения: Kandinsky

Источник изображения: Kandinsky

Как стало известно Tom's Hardware, о проблеме сообщила 7 октября японская компания-разработчик ПО для кибербезопасности Trend Micro в рамках инициативы Zero Day Initiative (ZDI). Уязвимости зарегистрированы под идентификаторами CVE-2025-11001 и CVE-2025-11002 и связаны с тем, как 7-Zip обрабатывает символические ссылки внутри ZIP-файлов. Злоумышленник может создать архив, способный выйти за пределы целевой директории распаковки и записать файлы в произвольные системные пути. При комбинированном использовании эти уязвимости позволяют добиться выполнения кода с привилегиями текущего пользователя, что достаточно для компрометации среды Windows. Обе уязвимости имеют базовую оценку по шкале CVSS, равную 7,0.

Согласно бюллетеню ZDI, для эксплуатации требуется минимальное взаимодействие пользователя — достаточно просто открыть или извлечь вредоносный архив. После этого уязвимость обхода каталогов через символические ссылки может перезаписать файлы или разместить полезную нагрузку в чувствительных путях, что позволяет хакеру перехватить поток выполнения. ZDI классифицирует обе ошибки как уязвимости обхода каталогов, ведущие к удалённому выполнению кода в контексте учётной записи службы.

Российский разработчик 7-Zip Игорь Павлов выпустил версию 25.00 5 июля, в которой были устранены данные уязвимости. Стабильная версия 25.01 появилась в августе. Однако публичное раскрытие технических деталей произошло лишь на этой неделе, когда ZDI опубликовала соответствующие уведомления. Это означает, что пользователи, не обновлявшие программу с начала лета, оставались уязвимыми в течение нескольких месяцев, не зная об этом. Кроме того, из-за отсутствия механизма автоматического обновления многие продолжают использовать старые версии программы.

Ранее в этом году уязвимость CVE-2025-0411 привлекла внимание специалистов, поскольку позволяла обходить защиту Windows Mark-of-the-Web (MOTW) путём вложения вредоносных ZIP-архивов друг в друга, эффективно удаляя метку «загружено из интернета» с файлов. Эта проблема была устранена в версии 24.09.

Для обеспечения защиты рекомендуется загрузить 7-Zip версии 25.01 или новее непосредственно с официального сайта проекта. Установщик обновит существующую конфигурацию без изменения пользовательских настроек. До обновления следует избегать распаковки архивов из ненадёжных источников.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Рог изобилия ИИ продолжает разгонять Foxconn — выручка взлетела почти на 40 % во втором квартале 2 ч.
Sony разрабатывала геймпад DualShock со встроенной первой PlayStation, но проект отменили 5 ч.
Доля выпущенных в Китае электромобилей Tesla опустилась ниже 30 % мирового объёма поставок впервые с 2020 года 10 ч.
Прежде чем стать безопасными соседями для людей, роботам предстоит ещё сильно усовершенствоваться 11 ч.
TSMC получила разрешение тайваньских властей потратить ещё $20 млрд на завод в США 24 ч.
Вместо тысяч датчиков одна дешёвая камера — роботов научили чувствовать пальцами 04-07 17:35
В 2028 году Samsung планирует выпустить серийный смартфон с рулонным дисплеем 04-07 16:24
Портативная консоль AyaNeo Next 2 на AMD Strix Halo выйдет на мировой рынок — цена флагмана составит $5300 04-07 16:22
Micron начала строительство ещё одного завода по производству памяти в Хиросиме — он заработает в 2028 году 04-07 16:16
Производители памяти призвали власти США отказаться от регулирования рынка, чтобы не стало ещё хуже 04-07 15:23