Поделиться
Сверхпопулярный бесплатный архиватор позволяет в два счета захватить ПК. Жертве достаточно лишь открыть архив
Несколько новых опасных уязвимостей в популярном архиваторе 7-Zip превращают ПК в лакомую цель для взломщика. Для выполнения произвольного кода на машине жертвы последней достаточно открыть или распаковать особый архив. Пользователям утилиты рекомендовано как можно скорее обновиться до версии 25.Опасная уязвимость в популярном архиваторе
В архиваторе 7-Zip обнаружен ряд опасных уязвимостей, которые позволяют злоумышленнику добиться удаленного выполнения кода на компьютере жертвы, пишет Tom’s Hardware. Для этого последнему понадобиться лишь открыть специально подготовленный архив формата ZIP.
Уязвимости, информация о которых впервые была раскрыта в рамках Zero Day Initiative (ZDI) ИБ-компанией Trend Micro 7 октября 2025 г., затрагивает сразу несколько сборок популярной утилиты с открытым исходным кодом. Бреши без лишнего шума были закрыты разработчиком архиватора еще в июле 2025 г., однако нельзя исключать того, что уязвимую версию программы по-прежнему применяет значительное количество пользователей, не успевших обновиться.
Бреши, которым были присвоены идентификаторы CVE-2025-11001 и CVE-2025-11002 (опасность: 7 баллов из 10 по шкале CVSS), своим возникновением обязаны ошибкам в реализации механизма разбора символических ссылок, упакованных в ZIP-архив, в архиваторе 7-Zip.
Символическая ссылка (мягкая ссылка, или симлинк) – объект файловой системы, который лишь указывает на другой объект файловой системы, не копируя его содержимое.
Простые условия срабатывания
Говоря простыми словами, содержимое особого архива, созданного злоумышленником, знакомым с этой «особенностью» 7-Zip, в случае распаковки может помещаться в каталог, отличный от заданного пользователем. Правильно проэксплуатировав этот баг, можно добиться выполнения кода, предусмотренного злоумышленником, с правами текущего пользователя, и этого вполне достаточно для того, чтобы доставить массу неприятностей владельцу скомпрометированного ПК.
Успех взломщика зависит от действий пользователя – необходимо обеспечить его взаимодействие с вредоносным архивом. Впрочем, это не должна быть какая-либо сложная и необычная процедура, которая могла бы вызвать подозрения у рядового пользователя – достаточно распаковать архив или просто его открыть для просмотра, отмечает Tom’s Hardware. Дальше в дело вступает изъян в механизме обработки символических ссылок, воспользовавшись которым хакер может разместить нужные ему вредоносные файлы в каталоге, к которому у пользователя имеется доступ.
Лучше не затягивать с обновлением
Уязвимости удаленного выполнения кода, а также некоторые менее значимые проблемы с обработкой архивов формата RAR, в 7-Zip были закрыты с выходом версии 25.00 архиватора. Соответствующая сборка была опубликована его разработчиком Игорем Павловым еще 5 июля 2025 г. На сегодняшний день стабильным считается сборка 25.01, вышедшая в августе.
Тем не менее, поскольку информация об опасной уязвимости была обнародована лишь в октябре 2025 г., по-прежнему могут оставаться пользователи, которые не в курсе ее обнаружения и все еще применяют устаревшую версию 7-Zip, причем на протяжении нескольких месяцев.
В 7-Zip не предусмотрен механизм автоматического обновления, что способствует усугублению ситуации. Архиватор приходится обновлять вручную. Кроме того, некоторые пользователи предпочитают переносимую (portable) сборку утилиты, то есть не требующую установки на компьютер, ее можно свободно переносить с одного устройства на другое без утраты работоспособности. Как отмечает Tom’s Hardware, даже в корпоративном ландшафте, где к безопасности ПО, как правило, предъявляются сравнительно жесткие требования, 7-Zip может оставаться без важных патчей в случае применения portable-сборок.
Во избежание проблем с безопасностью эксперты рекомендует загрузить и в дальнейшем применять 7-Zip версии 25.01 или более свежей непосредственно с официального сайта проекта. Инсталлятор утилиты автоматически обновит уже установленную версию, не затрагивая заданные пользователям параметры. Лучше всего воздержать от распаковки архивов, в особенности, полученных из сомнительных источников, до установки новой версии программы, отмечает Tom’s Hardware.
Некоторые факты о 7-Zip
В апреле 2022 г. CNews сообщил об обнаружении в 7-Zip уязвимости с индексом CVE-2022-29072, которая затрагивала все актуальные на тот момент версии утилиты для операционной системы Windows и позволяла повысить права текущего пользователя до уровня администратора. Разработчики архиватора указывали на то, что в ее возникновении виноват сторонний компонент – Microsoft HTML Helper, выявившие же проблему исследователи с этим не соглашались.
В 2023 г. эксперт из ИБ-компании Sophos обнаружил, что некоторые облачные сервисы Microsoft, в том числе SharePoint, способны «вскрывать» архивы формата 7z, защищенные паролем, для проверки на предмет наличия вредоносного содержимого. Подходящую кодовую фразу системы безопасности Microsoft якобы могли найти в почтовой переписке пользователя или даже подобрать по словарю.
7-Zip представляет собой архиватор, распространяющийся на бесплатной основе и имеющий открытый исходный код. Это прямой конкурент WinZip и WinRAR, поддерживающий подавляющее большинство современных форматов архивов, включая .rar, .zip, .tar и др. Его разработка ведется с 1999 г.
Одним из главных преимуществ 7-Zip, помимо возможности пользоваться им на бесплатной основе, является собственный формат 7z. Он поддерживает очень высокую степень сжатия, обеспеченную использованием усовершенствованного алгоритма Лемпеля-Зива.
Поделиться
Короткая ссылка
