7-Zip两个最新漏洞,你修复了吗?

2025-10-17 22:02:56 0点赞 0收藏 0评论

两个新公布的7-Zip漏洞可能会使攻击者通过诱骗用户打开恶意ZIP存档文件来执行任意代码。近日,趋势科技的零日计划(Zero Day Initiative,ZDI)报告了这些问题,这些漏洞影响了流行的开源压缩工具的多个版本,并在7月悄然修复。

7-Zip两个最新漏洞,你修复了吗?

这两个漏洞被追踪为CVE-2025-11001和CVE-2025-11002,问题的根源在于7-Zip解析ZIP文件中的符号链接的方式。本质上,一个经过精心设计的存档文件可以逃脱其预定的解压目录,并将文件写入系统上的其他位置。当这些漏洞被组合利用时,可以在与用户相同的权限下升级为完整的代码执行,这足以危及Windows环境。这两个漏洞的CVSS基础评分均为7.0。

根据ZDI的咨询报告,利用这些漏洞需要用户交互,但这个门槛很低,仅仅打开或解压一个恶意存档文件就足够了。从那里开始,符号链接遍历漏洞可以覆盖或在敏感路径上植入有效载荷,允许攻击者劫持执行流程。ZDI将这两个漏洞归类为目录遍历导致在服务帐户上下文中远程代码执行。

7-Zip的开发者Igor Pavlov在7月5日发布了25.00版本,该版本修复了这些漏洞,同时还解决了RAR和COM存档处理中的几个较小问题——当前的稳定版本25.01于8月发布。然而,安全细节的公开披露直到本周ZDI的咨询报告发布时才发生。这意味着那些自初夏以来没有更新的用户,在毫不知情的情况下已经脆弱了好几个月。

7-Zip两个最新漏洞,你修复了吗?

缺乏自动更新机制加剧了这类问题。7-Zip必须手动更新,许多用户依赖较旧的便携式版本。即使在企业环境中,它也常常逃过补丁管理系统。

今年早些时候,CVE-2025-0411因其允许攻击者通过嵌套恶意ZIP文件来绕过Windows的“网络标记”保护而登上头条,有效地剥离了下载文件的“来自互联网”警告标志。该漏洞已在24.09版本中得到解决。

为了保持安全,你需要尽快从官方网站下载7-Zip 25.01或更新版本,在更新之前,避免从未经验证的来源解压存档文件。

展开 收起
0评论

当前文章无评论,是时候发表评论了
提示信息

取消
确认
评论举报

相关文章推荐

更多精彩文章
更多精彩文章
最新文章 热门文章
0
扫一下,分享更方便,购买更轻松