У популярному архіваторі 7-Zip знайдено дві небезпечні «дірки» для хакерів
Експерти з кібербезпеки виявили в коді 7-Zip дві критичні вразливості.
Вони можуть дозволити зловмисникам виконувати довільний код під час обробки ZIP-файлів без відома користувача. У мережі вже з'явилися докладні описи обох і спосіб їх виправлення.
Уразливості з ідентифікаторами CVE-2025-11002 та CVE-2025-11001 використовують архіви, що містять посилання на шкідливі бібліотеки. Останні під час розпакування такого файлу з правами адміністратора потрапляють до системної директорії та можуть бути запущені автоматично.
Для експлуатації самої вразливості не потрібні підвищені привілеї: достатньо самого факту взаємодії користувача зі шкідливим архівом. Особливу небезпеку це становить корпоративні системи — у таких сценаріях впровадження довільного коду може призвести до компрометації всієї інфраструктури.
У 7-Zip версії 25.00, що усуває знайдені вразливості, реалізовано сувору перевірку шляхів та блокування символьних посилань, що виходять за межі каталогу розпакування. Фахівці рекомендують не тягнути з оновленням програми та перевірити системи, в яких архіви розпаковуються автоматично.
Ознаками злому можуть бути невідомі бібліотеки або файли, що виконуються в захищених директоріях, а також наявність в системі ZIP-файлів з підозріло довгими шляхами.
Джерело: ilenta.com
Читайте ещё:
89 82 131 145 111 118 124 174 96 109 
137 
