Nowe luki w 7-Zip pozwalają na zdalne ataki

Użytkownicy powinni jak najszybciej zaktualizować program do obecnej wersji 25.01

Dwie poważne luki w 7-Zip mogą pozwolić atakującym na uruchomienie złośliwego kodu poprzez spreparowane archiwa ZIP. Problemy zostały odkryte przez Trend Micro Zero Day Initiative (ZDI) i oznaczone jako CVE-2025-11001 oraz CVE-2025-11002.

Błędy dotyczą sposobu, w jaki 7-Zip obsługuje linki symboliczne w archiwach ZIP. W praktyce pozwala to na „ucieczkę” z katalogu rozpakowywania i zapis plików w innych lokalizacjach systemu. Połączenie tych błędów umożliwia pełne wykonanie kodu z uprawnieniami użytkownika, co w środowisku Windows może prowadzić do przejęcia systemu.

Luki zostały cicho załatane już w lipcu w wersji 7-Zip 25.00, ale dopiero teraz – po publikacji raportu ZDI – stały się publicznie znane. Aktualna wersja to 25.01, opublikowana w sierpniu.

Problem pogłębia fakt, że 7-Zip nie posiada automatycznego mechanizmu aktualizacji, a wielu użytkowników nadal korzysta z przenośnych wersji programu. Oznacza to, że znaczna liczba systemów może wciąż być narażona. Użytkownicy powinni więc koniecznie zaktualizować program, pobierając nową wersję z oficjalnej strony internetowej.

Źródła:
Tom’s Hardware
Trend Micro Zero Day Initiative

Tagi

Popularne

Palo Alto Networks ofiarą łańcuchowego ataku na Salesforce
Chaos w Waszyngtonie blokuje wymianę informacji o cyberatakatach
Witamy na Sentry News
Cloudflare blokuje rekordowy atak DDoS – 11,5 Tbps