У поширеному архіваторі 7-Zip знайдено дві критичні вразливості, які можуть використати зловмисники

Вони дають змогу виконувати будь-який код під час обробки ZIP-файлів без відома користувача. В інтернеті вже з’явилися детальні описи обох вразливостей та методи їх усунення.

Небезпечні “дірки” відомі під ідентифікаторами CVE-2025-11002 та CVE-2025-11001. Їх суть — архів містить посилання на шкідливі бібліотеки, які при розпакуванні з правами адміністратора потрапляють у системні директорії і можуть бути запущені автоматично.

Для використання уразливості не потрібно мати підвищені права — достатньо, щоб користувач просто взаємодіяв із ZIP-файлом. Особливо це ризиковано для корпоративних систем, де запуск довільного коду може призвести до масштабного злому інфраструктури.

У версії 7-Zip 25.00 виправлено ці проблеми: тут реалізовано сувору перевірку шляхів і блокування символьних посилань, які виходять за межі каталогу розпакування. Фахівці радять якомога швидше оновити програму та перевірити всі системи, де архіви розпаковуються автоматично.

Як ознаки зламу можуть виступати:

• поява невідомих бібліотек або виконуваних файлів у захищених директоріях,

• архіви ZIP з дуже довгими шляхами у структурі папок.