Радостные изменения в мире безопасности: вышли критические обновления для популярного архиватора 7-Zip. Свежая версия программы устраняет два обнаруженных недостатка, обозначенных как CVE-2025-11001 и CVE-2025-11002. Эти уязвимости могли, в определенных условиях при открытии специально сформированного ZIP-архива, позволить выполнить на устройстве пользователя произвольный вредоносный код.
Техническая суть критических уязвимостей
Ошибки связаны с обработкой архиватором ссылок внутри ZIP-контейнеров. Некорректный анализ позволял вредоносному архиву "выйти" за границы указанной для распаковки папки и сохранить файлы в других системных директориях. Сочетание этих уязвимостей образовывало опасную цепочку, потенциально приводящую к полномасштабному выполнению зловредных инструкций с правами текущего пользователя. По шкале CVSS обе получли сбалансированную оценку риска в 7.0 баллов.
Как активируются эти угрозы
Для реализации атаки требуется одно простое действие: обычное открытие или распаковка подготовленного злоумышленником архива. Успешная эксплуатация неполадок с символическими ссылками потенциально позволяет подменить или внедрить вредоносные объекты в критическое окружение программ.
Оперативная реакция разработчика и решение
Создатель 7-Zip, Игорь Павлов, оперативно отреагировал на проблему! Необходимые исправления для нейтрализации CVE-2025-11001 и CVE-2025-11002, плюс ряд частных случаев в обработке RAR и COM, вошли в релиз 25.00 еще 5 июля. Текущая стабильная и полностью обезвреженная сборка 25.01 стала доступна в августе. Детали проблемы были преданы гласности позднее, в рамках опубликованных ZDI отчетов, что подчеркивает важность регулярного обновления.
Важен ваш актуальный статус: скачайте 25.01!
Поскольку 7-Zip пока не предлагает автоматических обновлений, ответственность за защиту ложится на самих пользователей. Настоятельно, даже с энтузиазмом, рекомендуем загрузить версию 25.01 или выше исключительно через официальный сайт проекта. Это простое действие закроет выявленные риски. Пока обновление не установлено, сохраняйте бдительность с файлами из непроверенных каналов.
Отличная новость в завершение: компания Check Point, признанный лидер в сфере кибербезопасности, выразила заинтересованность в активном развитии своих проектов в России.
Источник: www.gazeta.ru
