Исследователями по ИБ из Trend Micro Zero Day Initiative (ZDI) опубликовали информацию о двух критических уязвимостях CVE-2025-11001 и CVE-2025-11002 в архиваторе 7-Zip. Пользователям устаревших версий этого решения рекомендовано проявлять повышенную осторожность при работе с архивами из непроверенных источников, а также срочно обновиться до последней стабильной версии 7-Zip 25.01.
Уязвимости позволяют злоумышленникам выполнять удалённо произвольный код на ПК жертвы при условии, что пользователь открыл специально созданный ZIP-архив. Ошибки в коде программы связаны с обработкой ссылок внутри архивов. Например, вместо того, чтобы оставаться в папке для распаковки, вредоносные элементы могут выходить за её пределы и записывать файлы в другие системные каталоги, что открывает путь для выполнения несанкционированных команд в рабочей системе.
Проблема также усложнена тем, что для успешной атаки злоумышленникам не требуются права администратора. А если архиватор 7-Zip запущен от имени администратора, то последствия могут быть критичными, вплоть до внедрения вредоносных приложений в скомпрометированную систему.
В начале августа 2025 года разработчик Игорь Павлов представил версию открытого архиватора 7-Zip 25.01. Исходный код проекта написан на языке программирования C++ и опубликован на GitHub под лицензией LGPL. Разработка архиватора ведётся с января 1999 года. Решение переведено на 87 языков. Выпуск 7-Zip 25.0 произошёл 5 июля 2025 года. Для загрузки доступны готовые сборки 7-Zip для Windows, macOS и Linux (i686, x86-64, ARM, ARM64).
Источник: habr.com