В 7-Zip нашли уязвимости — пользователям советуют обновить ПО

Исследователи по информационной безопасности из инициативы Trend Micro Zero Day Initiative (ZDI) раскрыли сведения о двух серьёзных уязвимостях в популярном архиваторе 7-Zip — CVE-2025-11001 и CVE-2025-11002. Информацию о проблемах разработчику предоставили ещё в мае 2025 года, а исправления были выпущены в августе того же года в обновлении 7-Zip 25.01.

Уязвимости связаны с процессом обработки символических ссылок и других элементов внутри ZIP-архивов. Злоумышленник может создать специально сформированный архив, который при распаковке вынудит программу выходить за рамки указанной папки для извлечения, записывая файлы в произвольные системные директории. Такой механизм эксплуатации открывает возможность для выполнения вредоносных команд и запуска произвольного кода на устройстве жертвы.

Особенно важно, что для успешного использования данной уязвимости хакерам не нужны права администратора. Однако если 7-Zip запущен с повышенными правами, последствия могут быть весьма серьёзными и привести к установке вредоносного ПО на компьютер пользователя.

Разработчик 7-Zip Игорь Павлов выпустил релиз версии 25.01 в начале августа 2025 года, который включает исправления обнаруженных проблем. Этот архиватор с открытым исходным кодом, написанный на C++ и лицензированный под LGPL, существует с 1999 года и получила множество переводов — всего 87 языков.

Новая версия доступна для скачивания на официальных ресурсах проекта как для Windows, так и для macOS и Linux (архитектуры i686, x86-64, ARM, ARM64). Экспертам и пользователям настоятельно рекомендуется обновить установленный архиватор до последней стабильной версии 7-Zip 25.01, чтобы избежать потенциальных атак при работе с подозрительными архивами из непроверенных источников.

Таким образом, своевременное обновление сегодня является самым эффективным способом защитить свои устройства от возможных эксплойтов и сохранить безопасность личных данных.