Пользователям 7-Zip для работы с ZIP-файлами, настало время как можно скорее обновить программу. Специалисты Trend Micro в рамках инициативы Zero Day Initiative (ZDI) обнаружили две серьёзные уязвимости безопасности, которые позволяют злоумышленникам запускать код на вашем компьютере при открытии вредоносного архива.
7 октября ZDI опубликовала детали, указав на ошибки с идентификаторами CVE-2025-11001 и CVE-2025-11002. Эти уязвимости затрагивают несколько старых версий 7-Zip и были исправлены ещё в июле 2025 года, но многие пользователи об этом не знали.
Проблема заключается в том, как 7-Zip обрабатывает символические ссылки в ZIP-файлах. Созданный архив может «вырваться» из своей папки при распаковке и записать данные в другое место вашей системы. Это означает, что вредоносный ZIP-архив может поместить или заменить файлы в защищённых местах, а затем использовать эти файлы для запуска кода от имени вашей учётной записи. Обе уязвимости имеют высокий уровень серьёзности — 7,0 по шкале CVSS. Для успешной атаки достаточно просто открыть или извлечь проблемный архив.
Создатель 7-Zip, Игорь Павлов, исправил эти уязвимости в версии 25.00 ещё в июле, а в августе выпустил версию 25.01 с дополнительными улучшениями. Однако 7-Zip не обновляется автоматически, и многие пользователи продолжают использовать старые портативные версии, которые не получают обновлений. Даже в компаниях 7-Zip часто не устанавливается через стандартные системы обновления, так как не устанавливается через установщик Windows или центральный репозиторий. Это означает, что многие пользователи подвергались риску в течение нескольких месяцев, даже не подозревая об этом.
Это не первый случай, когда 7-Zip упоминается в контексте проблем с безопасностью. Ранее в этом году была обнаружена другая ошибка (CVE-2025-0411), которая позволяла злоумышленникам обходить защиту Windows Mark-of-the-Web, создавая вложенные ZIP-файлы, что скрывало предупреждения о «загруженных файлах из интернета». Эта уязвимость была исправлена в версии 24.09, но многие пользователи и тогда не обновились.
Для вашей безопасности рекомендуется вручную скачать последнюю версию 7-Zip (25.01 или более позднюю) с официального сайта. Установщик заменит вашу старую копию, сохранив все настройки. Если у вас несколько компьютеров дома или на работе, убедитесь, что на каждом из них установлена актуальная версия. Пока вы не обновитесь, будьте особенно осторожны с ZIP-файлами из незнакомых источников и не открывайте подозрительные архивы, пришедшие из непроверенных электронных писем.
Обновление занимает всего минуту и закрывает уязвимость, которую злоумышленники могут использовать для получения контроля над вашей системой. Если вы ещё этого не сделали, скачайте 7-Zip 25.01 и убедитесь, что ваш архиватор безопасен.
Источник: www.playground.ru