Няколко новооткрити уязвимости в популярния безплатен архиватор 7-Zip правят компютрите на потребителите, които използват приложението, привлекателна мишена за хакерите.
За да бъде изпълнен произволен код на компютъра, набелязаната жертва просто трябва да отвори или разархивира специален ZIP архив. Експертите препоръчват на потребителите на 7-Zip да актуализират програмата до версия 25 възможно най-скоро.
Уязвимостите, разкрити за първи път от Trend Micro като част от инициативата Zero Day Initiative (ZDI), засягат няколко компилации на популярната помощна програма с отворен код.
Макар че бъговете бяха тихомълком отстранени от разработчика на архиватора през юли 2025 г., не може да се изключи, че значителен брой потребители все още използват уязвимата версия на програмата.
Уязвимостите с идентификатори CVE-2025-11001 и CVE-2025-11002 (тежест: 7 от 10 по скалата на CVSS), са причинени от грешки в механизма за парсиране за символни връзки, опаковани в ZIP архиви, на 7-Zip.
Символната връзка (symlink) е обект на файлова система, който просто сочи към друг обект, без да копира съдържанието му. Съдържанието на специален архив, създаден от хакер, запознат с тази „функция” на 7-Zip, може, след разопаковане, да бъде поставено в директория, различна от посочената от потребителя.
Чрез правилното използване на този бъг е възможно да се изпълни хакерски код с привилегиите на текущия потребител, което е достатъчно, за да причини много проблеми на собственика на компрометирания компютър.
Успешната атака зависи от действията на потребителя – той трябва да взаимодейства със злонамерения архив. Това обаче не бива да включва някаква сложна или необичайна процедура, която би могла да предизвика подозрение у обикновения потребител – достатъчно е той да разопакова архива или просто да го отвори за преглед.
Именно в тези случаи се проявява недостатъкът в механизма за обработка на символни връзки, който позволява на хакера да постави целеви злонамерени файлове в директория, до която потребителят има достъп.
Уязвимостите при дистанционно изпълнение на код, както и някои по-малко значителни проблеми с обработката на RAR архиви, бяха отстранени в 7-Zip с издаването на версия 25.00. Съответната компилация беше публикувана от нейния разработчик на 5 юли 2025 г.
Компилация 25.01, издадена през август, в момента се счита за стабилна. Но тъй като информацията за уязвимостта беше публично разкрита едва през октомври 2025 г., все още има потребители, които не знаят за нея и продължават да използват остаряла версия на 7-Zip. Експертите съветват потребителите да актуализират незабавно програмите си до версия 25.01, за да не станат жертва на хакерска атака.
7-Zip няма механизъм за автоматично актуализиране, което влошава ситуацията. Архиваторът трябва да се актуализира ръчно.
Освен това някои потребители предпочитат преносима компилация на помощната програма, което означава, че тя не изисква инсталация и може лесно да се премества от едно устройство на друго, без да губи функционалност.
Дори в корпоративна среда, където изискванията за сигурност на софтуера обикновено са сравнително строги, 7-Zip може да остане без важни корекции, ако се използват преносими компилации, отбелязва Tom’s Hardware.
Експертите препоръчват на потребителите да изтеглят 7-Zip версия 25.01 или по-нова директно от официалния уебсайт на проекта. Инсталаторът на помощната програма автоматично ще актуализира инсталираната версия, без да засяга настройките на потребителя.
Докато не инсталират новата версия на програмата, потребителите трябва да се въздържат от разопаковане на архиви, особено такива получени от съмнителни източници, за да избегнат проблеми със сигурността.
1 коментар
Пълни глупости. Плашат хората, за да ползват платени архиватори……..