Популярний архіватор 7-Zip, який мільйони користувачів встановлюють для роботи зі стиснутими файлами, виявився підданий двом серйозним уразливостям. Проблеми, що отримали ідентифікатори CVE-2025-11001 та CVE-2025-11002, дозволяють зловмисникам виконувати довільний код на комп'ютері жертви, і для цього достатньо, щоб користувач відкрив спеціально створений ZIP-архів.
Помилки в коді програми пов'язані з обробкою посилань всередині архівів, і замість того, щоб залишатися в папці для розпакування, шкідливі елементи можуть виходити за її межі та записувати файли в інші системні каталоги, що відкриває шлях для виконання несанкціонованих команд. Особливість ситуації в тому, що для успішної атаки не потрібні права адміністратора, однак якщо архіватор запущений від імені адміністратора, наслідки можуть бути катастрофічними — аж до повного захоплення під контроль системи.
Розробник 7-Zip усунув ці «діри» ще в липні, випустивши версію 25.00, тим не менш, широкій публіці про деталі уразливостей стало відомо лише зараз. Це означає, що всі, хто не оновлював програму з початку літа, протягом кількох місяців залишалися незахищеними, не підозрюючи про це. Основна складність пов'язана з відсутністю в 7-Zip функції автоматичного оновлення, і багато користувачів роками працюють зі старими версіями.
Фахівці настійно рекомендують перевірити використовувану версію архіватора. Актуальною на сьогодні є збірка 25.01, а установка нової версії поверх старої проходить без втрати користувацьких налаштувань. Поки оновлення не проведено, варто проявляти підвищену обережність при роботі з архівами з неперевірених джерел, особливо якщо вони надходять електронною поштою або завантажені з сумнівних місць.
Нещодавно вийшло велике оновлення головного конкурента — архіватора WinRAR. Нова версія робить акцент не тільки на продуктивності та новому інтерфейсі, але й на підвищеній безпеці обробки файлів.