У популярному архіваторі 7-Zip виявили дві небезпечні вразливості

У популярному архіваторі 7-Zip виявлено небезпечну уразливість, яку зловмисники вже використовують у реальних атаках. Про це повідомили в NHS England Digital, закликавши користувачів якнайшвидше перевірити свою версію програми, особливо на комп’ютерах під керуванням Windows.

Проблема отримала ідентифікатор CVE-2025-11001 і оцінку небезпеки 7,0 за шкалою CVSS. Вона виникає через некоректну обробку символьних посилань усередині ZIP-архівів, що дозволяє сформувати архів так, аби доступ здійснювався до файлів за межами дозволених директорій. За даними експертів Zero Day Initiative, така атака може призвести до виконання довільних команд із правами сервісного облікового запису.

Уразливість була виправлена у версії 7-Zip 25.00, що вийшла у липні 2025 року. У цьому ж оновленні розробники закрили ще одну схожу проблему – CVE-2025-11002, також пов’язану з обробкою символьних посилань. Обидві помилки були присутні у версіях починаючи з 21.02.

Баг знайшли фахівці GMO Flatt Security за участю ШІ-аудитора Takumi, після чого повідомили розробників. NHS England Digital підтверджує, що випадки експлуатації CVE-2025-11001 уже зафіксовано, хоча подробиці атак та їхні цілі не розголошуються. Відомо, що у відкритому доступі є PoC-експлойти.

Користувачам рекомендують оновити 7-Zip до версії 25.00 або новішої.