Експерти з кібербезпеки виявили в коді 7-Zip дві критичні вразливості.

Вони можуть дозволити зловмисникам виконувати довільний код під час обробки ZIP-файлів без відома користувача. У мережі вже з’явилися докладні описи обох і спосіб їх виправлення.

Уразливості з ідентифікаторами CVE-2025-11002 та CVE-2025-11001 використовують архіви, що містять посилання на шкідливі бібліотеки. Останні під час розпакування такого файлу з правами адміністратора потрапляють до системної директорії та можуть бути запущені автоматично.

Для експлуатації самої вразливості не потрібні підвищені привілеї: достатньо самого факту взаємодії користувача зі шкідливим архівом. Особливу небезпеку це становить корпоративні системи — у таких сценаріях впровадження довільного коду може призвести до компрометації всієї інфраструктури.

У 7-Zip версії 25.00, що усуває знайдені вразливості, реалізовано сувору перевірку шляхів та блокування символьних посилань, що виходять за межі каталогу розпакування. Фахівці рекомендують не тягнути з оновленням програми та перевірити системи, в яких архіви розпаковуються автоматично.

Ознаками злому можуть бути невідомі бібліотеки або файли, що виконуються в захищених директоріях, а також наявність в системі ZIP-файлів з підозріло довгими шляхами.

Источник: ilenta.com