В 7-Zip нашли несколько уязвимостей, которые позволяют выполнять произвольный код при простом открытии или распаковке спец-архива. Эксперты рекомендуют немедленно обновить программу до версии 25.01.
Исследователи ZDI (Trend Micro) 7 октября 2025 года опубликовали данные о двух серьёзных баг-ах в обработке ZIP-архивов в 7-Zip.
Уязвимости получили номера CVE-2025-11001 и CVE-2025-11002 и оценены в 7.0 по шкале CVSS.
Суть простая и опасная. Злоумышленник кладёт в архив «мягкие» ссылки (symlinks). При распаковке 7-Zip может записать файлы вне целевой папки — туда, где у пользователя есть права. В результате атакующий может поместить полезную нагрузку и запустить её с правами текущего пользователя. Достаточно открыть или распаковать архив.
Разработчик 7-Zip, Игорь Павлов, уже выпустил исправления: версия 25.00 вышла в июле (первое исправление), стабильной считается 25.01, выпущенная в августе. Тем не менее публичное раскрытие деталей прошло только в октябре, поэтому часть пользователей до сих пор остаётся уязвимой.
Что делать прямо сейчас
- Обновите 7-Zip до версии 25.01 или новее с официального сайта.
- Не открывайте и не распаковывайте архивы из ненадёжных источников.
- В корпоративной сети распространите обновление через системы управления ПО — 7-Zip часто устанавливают вручную и он «убегает» от автоматического патча, сообщает Tom’s Hardware.
Коротко о риске
Уязвимость требует взаимодействия пользователя, но порог прост: открыть архив достаточно. В цепочке автоматической обработки архивов (например, при массовой загрузке или в системах обработок почты) риск увеличивается.
Читать далее:
Вселенная внутри черной дыры: наблюдения «Уэбба» подтверждают странную гипотезу
Испытания ракеты Starship Илона Маска вновь закончились взрывом в небе
Сразу четыре похожих на Землю планеты нашли у ближайшей одиночной звезды
Обложка: freepik
