Сегодня 14 октября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → 7-zip

В популярнейшем архиваторе 7-Zip обнаружены две уязвимости, позволяющие удалённо взламывать ПК

Исследователи безопасности выявили две критические уязвимости в популярной программе сжатия данных 7-Zip, которые позволяют злоумышленникам выполнять произвольный код на компьютере жертвы, если пользователь откроет или извлечёт содержимое специально сформированного ZIP-архива.

 Источник изображения: Kandinsky

Источник изображения: Kandinsky

Как стало известно Tom's Hardware, о проблеме сообщила 7 октября японская компания-разработчик ПО для кибербезопасности Trend Micro в рамках инициативы Zero Day Initiative (ZDI). Уязвимости зарегистрированы под идентификаторами CVE-2025-11001 и CVE-2025-11002 и связаны с тем, как 7-Zip обрабатывает символические ссылки внутри ZIP-файлов. Злоумышленник может создать архив, способный выйти за пределы целевой директории распаковки и записать файлы в произвольные системные пути. При комбинированном использовании эти уязвимости позволяют добиться выполнения кода с привилегиями текущего пользователя, что достаточно для компрометации среды Windows. Обе уязвимости имеют базовую оценку по шкале CVSS, равную 7,0.

Согласно бюллетеню ZDI, для эксплуатации требуется минимальное взаимодействие пользователя — достаточно просто открыть или извлечь вредоносный архив. После этого уязвимость обхода каталогов через символические ссылки может перезаписать файлы или разместить полезную нагрузку в чувствительных путях, что позволяет хакеру перехватить поток выполнения. ZDI классифицирует обе ошибки как уязвимости обхода каталогов, ведущие к удалённому выполнению кода в контексте учётной записи службы.

Российский разработчик 7-Zip Игорь Павлов выпустил версию 25.00 5 июля, в которой были устранены данные уязвимости. Стабильная версия 25.01 появилась в августе. Однако публичное раскрытие технических деталей произошло лишь на этой неделе, когда ZDI опубликовала соответствующие уведомления. Это означает, что пользователи, не обновлявшие программу с начала лета, оставались уязвимыми в течение нескольких месяцев, не зная об этом. Кроме того, из-за отсутствия механизма автоматического обновления многие продолжают использовать старые версии программы.

Ранее в этом году уязвимость CVE-2025-0411 привлекла внимание специалистов, поскольку позволяла обходить защиту Windows Mark-of-the-Web (MOTW) путём вложения вредоносных ZIP-архивов друг в друга, эффективно удаляя метку «загружено из интернета» с файлов. Эта проблема была устранена в версии 24.09.

Для обеспечения защиты рекомендуется загрузить 7-Zip версии 25.01 или новее непосредственно с официального сайта проекта. Установщик обновит существующую конфигурацию без изменения пользовательских настроек. До обновления следует избегать распаковки архивов из ненадёжных источников.

7-Zip для Windows научился использовать самые мощные настольные CPU полностью и получил другие улучшения

Бесплатная утилита для архивирования 7-Zip обновилась до версии 25.00 и теперь может использовать более 64 потоков процессора для сжатия файлов. Также разработчики сообщили об увеличении скорости сжатия формата bzip2 на 15–40 %.

 Источник изображения: Timo Strüker / Unsplash

Источник изображения: Timo Strüker / Unsplash

Ранее 7-Zip отлично справлялся с топовыми потребительскими процессорами уровня Ryzen 9 9950X (16 ядер/32 потока) или Core Ultra 9 285K (24 ядра/24 потока). Но производительность мощных многопоточных профессиональных и серверных чипов вроде Threadripper Pro 9995WX (64 ядра/128 потоков) не была задействована.

Теперь это ограничение снято. Если в системе установлено несколько групп процессоров, 7-Zip сам распределит потоки по разным группам.

Также в новой сборке исправлены ошибки, улучшена поддержка zip, cpio и fat, плюс на 1–3 % увеличена скорость сжатия по алгоритму deflate.

7-Zip уже много лет остаётся обязательным элементом в арсенале каждого продвинутого пользователя Windows. Утилита поддерживает множество форматов и может похвастаться одними из самых высоких скоростей сжатия на рынке.


window-new
Soft
Hard
Тренды 🔥
В популярнейшем архиваторе 7-Zip обнаружены две уязвимости, позволяющие удалённо взламывать ПК 6 ч.
Microsoft затруднит доступ к режиму Internet Explorer в Edge из-за атак хакеров — уязвимости останутся без патчей 7 ч.
Painkiller, «Герои Меча и Магии», новый «Мор» и многое другое: в Steam стартовал фестиваль «Играм быть» с тысячами демоверсий 7 ч.
В поиске Google теперь можно скрывать рекламу — но посмотреть её всё равно придётся 8 ч.
Apple TV+ превратился в просто Apple TV — стриминговый сервис ждёт «яркая новая идентичность» 8 ч.
Новый геймплейный трейлер раскрыл дату релиза Pathologic 3 — в 2025 году игра всё-таки не выйдет 9 ч.
«Просто огонь… вода, земля, воздух»: фанатов впечатлил первый геймплей файтинга Avatar Legends: The Fighting Game по «Аватару: Легенда об Аанге» 10 ч.
Календарь релизов — 13–19 октября: Steam Next Fest, Keeper, Ball x Pit и Pokémon Legends: Z-A 12 ч.
Отправиться в жуткое кооперативное приключение Reanimal от создателей Little Nightmares можно уже сейчас — в Steam вышла демоверсия 12 ч.
Лавкрафтианский хоррор-шутер Beneath не заставит себя долго ждать — новый трейлер, дата выхода и демоверсия в Steam 12 ч.
Квартальная прибыль Samsung выросла почти на треть до максимального за три года уровня 32 мин.
Колл-центры перешли на мобильные номера, чтобы избежать платной маркировки при звонках россиянам 59 мин.
Ошибка в Google Play Services вызвала хаос в новых Pixel 10 — приложения «падают» 2 ч.
OCP запустила инициативу Open Data Center for AI для стандартизации инфраструктуры передовых ИИ ЦОД с мегаваттными стойками 4 ч.
Новая статья: Обзор смартфона Google Pixel 10 Pro XL: магнитная аномалия 6 ч.
Vivo представила смарт-часы Watch GT 2 с автономностью до 33 дней, большим экраном и eSIM 6 ч.
Неубиваемый смартфон Honor X9d с батареей на 8300 мА·ч поступил в продажу в России — от 33 990 рублей 8 ч.
Энтузиасты починили продырявленную GeForce RTX 5070 Ti с помощью AMD Radeon RX 580 10 ч.
Складной iPhone Fold будет дешевле, чем ожидалось — Apple нашла способ сэкономить 10 ч.
OpenAI превратится в чипмейкера — Broadcom поможет проложить «путь к будущему ИИ» на 10 ГВт 10 ч.