Опасные уязвимости в популярном архиваторе 7-Zip превращают ПК в легкую цель для взломщика
Пользователям 7-Zip для работы с ZIP-файлами, настало время как можно скорее обновить программу. Специалисты Trend Micro в рамках инициативы Zero Day Initiative (ZDI) обнаружили две серьёзные уязвимости безопасности, которые позволяют злоумышленникам запускать код на вашем компьютере при открытии вредоносного архива.
7 октября ZDI опубликовала детали, указав на ошибки с идентификаторами CVE-2025-11001 и CVE-2025-11002. Эти уязвимости затрагивают несколько старых версий 7-Zip и были исправлены ещё в июле 2025 года, но многие пользователи об этом не знали.
Проблема заключается в том, как 7-Zip обрабатывает символические ссылки в ZIP-файлах. Созданный архив может «вырваться» из своей папки при распаковке и записать данные в другое место вашей системы. Это означает, что вредоносный ZIP-архив может поместить или заменить файлы в защищённых местах, а затем использовать эти файлы для запуска кода от имени вашей учётной записи. Обе уязвимости имеют высокий уровень серьёзности — 7,0 по шкале CVSS. Для успешной атаки достаточно просто открыть или извлечь проблемный архив.
Создатель 7-Zip, Игорь Павлов, исправил эти уязвимости в версии 25.00 ещё в июле, а в августе выпустил версию 25.01 с дополнительными улучшениями. Однако 7-Zip не обновляется автоматически, и многие пользователи продолжают использовать старые портативные версии, которые не получают обновлений. Даже в компаниях 7-Zip часто не устанавливается через стандартные системы обновления, так как не устанавливается через установщик Windows или центральный репозиторий. Это означает, что многие пользователи подвергались риску в течение нескольких месяцев, даже не подозревая об этом.
Это не первый случай, когда 7-Zip упоминается в контексте проблем с безопасностью. Ранее в этом
