Опасные уязвимости в одном из самых популярных бесплатных архиваторов — 7-Zip — ставят под угрозу безопасность миллионов пользователей по всему миру. Проблема заключается в возможности удаленного выполнения кода на компьютере жертвы. Причем для атаки достаточно всего лишь открыть специально подготовленный архив.
Уязвимость была обнаружена в механизме обработки символических ссылок (симлинков), встроенных в ZIP-архивы. Символическая ссылка — это объект файловой системы, который указывает на другой файл или каталог, не копируя его содержимое. В уязвимых версиях 7-Zip злоумышленник может создать архив, при открытии которого вредоносный код загружается и выполняется с правами текущего пользователя. Таким образом, без ведома владельца ПК, на его компьютере может быть запущено вредоносное ПО.
Наиболее тревожный момент заключается в простоте эксплуатации этой уязвимости. Пользователю не нужно выполнять никаких подозрительных действий — достаточно открыть архив для просмотра или извлечь его содержимое. В этот момент и активируется вредоносный код, используя уязвимость в системе обработки симлинков. Злоумышленник может получить доступ к файловой системе, изменять файлы, устанавливать программы или использовать заражённый компьютер в других атаках.
Уязвимости получили идентификаторы CVE-2025-11001 и CVE-2025-11002, и были оценены в 7 баллов из 10 по шкале CVSS, что указывает на высокий уровень угрозы. Они были обнаружены специалистами по информационной безопасности и впервые представлены в рамках инициативы Zero Day Initiative от компании Trend Micro в октябре 2025 года. Однако разработчик 7-Zip, Игорь Павлов, оперативно устранил уязвимости еще в июле, выпустив обновление под номером 25.00. На сегодняшний день актуальной считается версия 25.01, вышедшая в августе того же года.
Несмотря на то, что проблема была устранена, угроза остается актуальной. Причина — отсутствие функции автоматического обновления в 7-Zip. Пользователи, особенно те, кто использует портативные версии программы (portable), которые не требуют установки, рискуют остаться на устаревших сборках, не подозревая об угрозе. Более того, в корпоративной среде, где часто используют portable-программы для упрощения развёртывания на множестве машин, подобная уязвимость может распространяться особенно быстро и незаметно.
Эксперты в области кибербезопасности настоятельно рекомендуют как можно скорее обновить 7-Zip до версии 25.01 или более новой. Обновление доступно на официальном сайте разработчика, и его установка сохранит текущие пользовательские настройки. До момента обновления следует избегать открытия архивов из ненадёжных источников, даже если они кажутся безопасными на первый взгляд.
Стоит отметить, что это не первый случай, когда 7-Zip становится объектом внимания специалистов по безопасности. В 2022 году в программе была обнаружена другая уязвимость — CVE-2022-29072, которая также могла быть использована для выполнения вредоносного кода. Тогда, как и сейчас, проблема заключалась в обработке архивов и связана с недостаточной проверкой содержимого.
Важно понимать, что распространённость 7-Zip делает любую найденную в нём уязвимость крайне опасной. Программа широко используется не только частными пользователями, но и в образовательных учреждениях, компаниях и даже государственных структурах. Простота использования и открытый исходный код сделали её стандартом де-факто, но именно эти качества играют злую шутку, когда речь заходит о безопасности.
Для системных администраторов и специалистов по информационной безопасности важно учитывать, что даже если политики обновлений в организации прописаны чётко, переносимые версии программ могут обходить автоматизированные процессы обновления. Это делает регулярный аудит установленного ПО и его версий критически важным элементом защиты корпоративной инфраструктуры.
Также стоит рассмотреть варианты замены или дополнения 7-Zip другими архиваторами, которые поддерживают автоматическое обновление или централизованное управление. Хотя 7-Zip остаётся одним из самых мощных и удобных решений для работы с архивами, в условиях растущих угроз безопасности важна не только функциональность, но и своевременное устранение уязвимостей.
Разработчикам стоит задуматься о внедрении механизма уведомления об обновлениях или хотя бы отображения предупреждений при запуске устаревшей версии. Это может значительно сократить число потенциальных жертв подобных уязвимостей.
Кроме того, пользователям следует не только обновлять программное обеспечение, но и соблюдать базовые меры цифровой гигиены — не открывать архивы из сомнительных источников, использовать антивирусные программы и регулярно создавать резервные копии важной информации.
В заключение, инцидент с 7-Zip — ещё одно напоминание о том, насколько важна постоянная осведомленность о состоянии программного обеспечения, используемого как в личных целях, так и в профессиональной деятельности. В мире, где киберугрозы становятся всё более изощрёнными, своевременное обновление и внимательное отношение к безопасности — лучшая защита от потенциальных атак.
