Două vulnerabilități cu grad ridicat de severitate au fost descoperite în popularul arhivator de fișiere open-source, 7-Zip, care ar putea permite atacatorilor de la distanță să execute cod malițios.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Identificate ca CVE-2025-11001 și CVE-2025-11002, aceste defecte afectează toate versiunile software-ului anterioare celei mai recente versiuni și necesită aplicarea imediată a unor patch-uri, potrivit TomsHardware.
Ambele probleme provin din procesarea necorespunzătoare a legăturilor simbolice din fișierele ZIP, permițând arhivelor create să forțeze traversarea către locații neintenționate și, în cele din urmă, să execute cod în contextul serviciilor vulnerabile.
Problemele, raportate pe 7 octombrie de Trend Micro’s Zero Day Initiative (ZDI), afectează mai multe versiuni ale popularului instrument de compresie open-source și au fost remediate în mod discret în luna iulie.
Urmărite sub identificatorii CVE-2025-11001 și CVE-2025-11002, cele două vulnerabilități au fiecare un scor CVSS de 7,0. Practic, o arhivă special creată poate evada din folderul de extragere desemnat şi poate scrie fişiere în alte locuri ale sistemului. În combinaţie, ele pot permite atacatorilor să execute cod cu privilegiile utilizatorului, suficiente pentru a compromite un sistem Windows.
Esența ambelor vulnerabilități rezidă în modul în care 7-Zip gestionează legăturile simbolice încorporate în arhivele ZIP. Conform avertismentului, un infractor cibernetic poate crea un fișier ZIP rău intenționat care conține date special create pentru a exploata această vulnerabilitate.
Când un utilizator cu o versiune vulnerabilă de 7-Zip încearcă să decomprime arhiva, procesul defectuos poate fi manipulat pentru a efectua o traversare a directorului.
Acest lucru permite procesului de extragere să scrie fișiere în afara folderului de destinație dorit, plasând potențial încărcături rău intenționate în locații sensibile ale sistemului.
Deși atacul este inițiat de la distanță prin livrarea fișierului rău intenționat, exploatarea necesită interacțiunea utilizatorului, deoarece victima trebuie să aleagă să deschidă arhiva. Vectorii de atac specifici pot varia în funcție de modul în care 7-Zip este implementat în diferite medii.
Conform avizului ZDI, exploatarea necesită interacțiunea utilizatorului, dar pragul este scăzut; este suficientă simpla deschidere sau extragere a unei arhive infectate. De acolo, defectul de traversare a legăturilor simbolice poate suprascrie sau planta sarcini utile în căi sensibile, permițând atacatorului să deturneze fluxul de execuție. ZDI clasifică ambele bug-uri ca traversare de directoare care duce la executarea de cod de la distanță într-un context de cont de serviciu.
Dezvoltatorul 7-Zip, Igor Pavlov, a lansat versiunea 25.00 pe 5 iulie, care a remediat vulnerabilitățile împreună cu câteva probleme minore în gestionarea arhivelor RAR și COM, versiunea stabilă actuală, 25.01, a urmat în august. Cu toate acestea, divulgarea publică a detaliilor de securitate nu a avut loc până în această săptămână, când au fost publicate avizele ZDI. Asta înseamnă că utilizatorii care nu au făcut actualizări de la începutul verii au rămas vulnerabili luni de zile fără să știe.
Lipsa unui mecanism de actualizare automată agravează probleme de acest gen. 7-Zip trebuie actualizat manual, iar mulți utilizatori se bazează pe versiuni portabile mai vechi. Chiar și în mediile enterprise, acesta scapă adesea sistemelor de gestionare a patch-urilor, deoarece nu este instalat prin Windows Installer sau un depozit central.
La începutul acestui an, vulnerabilitatea CVE-2025-0411 a făcut titlurile publicațiilor de specialitate, deoarece permitea atacatorilor să ocolească protecțiile Mark-of-the-Web din Windows prin încorporarea de fișiere ZIP malițioase, eliminând practic avertismentele „de pe internet” afișate pentru fișierele descărcate. Problema a fost remediată în versiunea 24.09.
Pentru a rămâne protejat, descărcați versiunea 25.01 sau o versiune mai recentă a 7-Zip direct de pe site-ul oficial al proiectului. Programul de instalare va actualiza configurația existentă fără a afecta preferințele. Până la actualizare, evitați extragerea arhivelor din surse neverificate.
