В популярному архіваторі 7-Zip виявлено дві вразливості, які дозволяють віддалено зламувати ПК

Дослідники безпеки виявили дві критичні вразливості в популярній програмі стиснення даних 7-Zip, які дозволяють зловмисникам виконувати довільний код на комп'ютері жертви, якщо користувач відкриє або витягне вміст спеціально сформованого ZIP-архіву.

Джерело зображення: Kandinsky

Як стало відомо Tom's Hardware, про проблему повідомила 7 жовтня японська компанія-розробник програмного забезпечення для кібербезпеки Trend Micro в рамках ініціативи Zero Day Initiative (ZDI). Вразливості зареєстровані під ідентифікаторами CVE-2025-11001 і CVE-2025-11002 і пов'язані з тим, як 7-Zip обробляє символічні посилання всередині ZIP-файлів. Зловмисник може створити архів, здатний вийти за межі цільового каталогу розпакування і записати файли в довільні системні шляхи. При комбінованому використанні ці вразливості дозволяють досягти виконання коду з привілеями поточного користувача, що є достатнім для компрометації середовища Windows. Обидві вразливості мають базову оцінку за шкалою CVSS, рівну 7,0.

Згідно з бюлетенем ZDI, для експлуатації вимагається мінімальне взаємодія користувача — достатньо просто відкрити або витягти шкідливий архів. Після цього вразливість обходу каталогів через символічні посилання може перезаписати файли або розмістити корисне навантаження в чутливих шляхах, що дозволяє хакеру перехопити потік виконання. ZDI класифікує обидві помилки як вразливості обходу каталогів, що призводять до віддаленого виконання коду в контексті облікового запису служби.

Російський розробник 7-Zip Ігор Павлов випустив версію 25.00 5 липня, в якій були усунуті ці вразливості. Стабільна версія 25.01 з'явилася в серпні. Однак публічне розкриття технічних деталей відбулося лише на цьому тижні, коли ZDI опублікувала відповідні повідомлення. Це означає, що користувачі, які не оновлювали програму з початку літа, залишалися вразливими протягом кількох місяців, не знаючи про це. Крім того, через відсутність механізму автоматичного оновлення багато продовжують використовувати старі версії програми.

Раніше цього року вразливість CVE-2025-0411 привернула увагу фахівців, оскільки дозволяла обходити захист Windows Mark-of-the-Web (MOTW) шляхом вкладення шкідливих ZIP-архівів один в одного, ефективно видаляючи мітку «завантажено з інтернету» з файлів. Цю проблему було усунено в версії 24.09.

Для забезпечення захисту рекомендується завантажити 7-Zip версії 25.01 або новіше безпосередньо з офіційного сайту проєкту. Інсталятор оновить існуючу конфігурацію без зміни користувацьких налаштувань. До оновлення слід уникати розпакування архівів з ненадійних джерел.

Хочеш дізнатися більше — читай відгуки