NHS England Digital, технологическое подразделение финансируемой государством службы здравоохранения Англии, выпустило предупреждение об уязвимости в 7-Zip (CVE-2025-11001), которую могут использовать злоумышленники.
Активная эксплуатация CVE-2025-11001 была замечена в интернете, говорится в предупреждении, хотя в нем не говорится, кто обнаружил эти атаки, и могут ли они быть целенаправленными или широко распространенными.
CVE-2025-11001 и CVE-2025-11002
Появившиеся в 7-Zip v21.02, CVE-2025-11001 и CVE-2025-11002 – это две уязвимости обхода путей/директорий, которые были исправлены в 7-Zip v25.00, выпущенной в июле 2025 года.
Уязвимости были публично раскрыты в рекомендациях Zero Day Initiative 7 октября 2025 года, а их авторство принадлежит Рёта Шига из GMO Flatt Security, который обнаружил их с помощью аудитора безопасности приложений (Takumi), работающего на основе искусственного интеллекта.
Специфический недостаток заключается в обработке символических ссылок в ZIP-файлах. Символьные данные в ZIP-файле могут привести к переходу в непредусмотренные каталоги. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте служебной учетной записи, отмечается в обоих рекомендациях.
Другой исследователь безопасности под ником PacBypass проанализировал различия в коде 7-Zip v24.09 и v25.00 и спустя десять дней опубликовал техническую статью о CVE-2025-11001 и доказательство концептуального эксплойта для нее.
Как отмечает PacBypass, CVE-2025-11001 можно использовать только в Windows и только из контекста повышенной учетной записи пользователя/службы или на Windows-машине с включенным режимом разработчика.
Это связано с тем, что процесс 7-Zip создает симлинк, который является привилегированной операцией в Windows. Поэтому эксплуатация имеет смысл только в том случае, если 7-Zip используется служебной учетной записью, пояснил он.
Обновите 7-Zip
В августе 2025 года третий исследователь обнаружил уязвимость произвольной записи файлов (CVE-2025-55188), вызванную неправильной обработкой символических ссылок в 7-Zip, что может привести к выполнению кода, когда пользователь извлекает с помощью 7-Zip злонамеренно созданный архив.
CVE-2025-55188 был исправлен в версии 7-Zip v25.01. Код для обработки символических ссылок был изменен для обеспечения большей безопасности при извлечении файлов из архивов, отметил в то время создатель и сопровождающий 7-Zip Игорь Павлов.
Пользователям 7-Zip было рекомендовано как можно скорее обновиться до последней доступной версии, поскольку в программе нет функции автоматического обновления.
Комментарии (0)