В одной из версий популярного архиватора 7-Zip обнаружены опасные уязвимости

Популярный архиватор 7-Zip, который миллионы пользователей устанавливают для работы с сжатыми файлами, оказался подвержен двум серьезным уязвимостям. Проблемы, получившие идентификаторы CVE-2025-11001 и CVE-2025-11002, позволяют злоумышленникам выполнять произвольный код на компьютере жертвы и для этого достаточно, чтобы пользователь открыл специально созданный ZIP-архив.

Ошибки в коде программы связаны с обработкой ссылок внутри архивов и вместо того чтобы оставаться в папке для распаковки, вредоносные элементы могут выходить за ее пределы и записывать файлы в другие системные каталоги, что открывает путь для выполнения несанкционированных команд. Особенность ситуации в том, что для успешной атаки не требуются права администратора, однако если архиватор запущен от имени администратора, последствия могут быть катастрофическими — вплоть до полного взятия под контроль системы.

Разработчик 7-Zip устранил эти «дыры» еще в июле, выпустив версию 25.00, тем не менее, широкой публике о деталях уязвимостей стало известно только сейчас. Это означает, что все, кто не обновлял программу с начала лета, на протяжении нескольких месяцев оставались незащищенными, не подозревая об этом. Основная сложность связана с отсутствием в 7-Zip функции автоматического обновления и многие пользователи годами работают со старыми версиями.

Специалисты настоятельно рекомендуют проверить используемую версию архиватора. Актуальной на сегодня является сборка 25.01, а установка новой версии поверх старой проходит без потери пользовательских настроек. Пока обновление не произведено, стоит проявлять повышенную осторожность при работе с архивами из непроверенных источников, особенно если они поступают по электронной почте или скачаны из сомнительных мест.

Недавно вышло крупное обновление главного конкурента — архиватора WinRAR. Новая версия делает акцент не только на производительности и новом интерфейсе, но и на повышенной безопасности обработки файлов.