В популярном архиваторе для Windows обнаружили две опасные уязвимости

Уязвимость в популярном архиваторе 7-Zip уже применяется злоумышленниками в реальных атаках.

Как передает Day.Az со ссылкой на Gazeta.ru, об этом заявили в NHS England Digital, призвав пользователей срочно проверить версию установленного ПО, особенно в среде Windows, сообщает SecurityLab.

Проблема с идентификатором CVE-2025-11001 и уровнем опасности 7,0 по шкале CVSS связана с некорректной обработкой символьных ссылок внутри ZIP-архивов, что позволяет сформировать файл таким образом, чтобы доступ к данным осуществлялся за пределами разрешенных директорий. По оценке экспертов Zero Day Initiative, атака может приводить к выполнению произвольных команд в контексте сервисной учетной записи.

Уязвимость была устранена в версии 7-Zip 25.00, опубликованной в июле 2025 года. В этом же релизе была закрыта вторая схожая проблема - CVE-2025-11002, также связанная с обработкой символьных ссылок. Обе ошибки присутствовали в ветке, начиная с версии 21.02.

Баг обнаружили специалисты GMO Flatt Security при участии ИИ-аудитора приложений Takumi, которые уведомили разработчиков о рисках. По данным NHS England Digital, факты эксплуатации CVE-2025-11001 уже зафиксированы, однако детали атак, векторы распространения и цели злоумышленников не раскрываются. Известно, что в публичном доступе существуют PoC-эксплойты.

Пользователям рекомендуется обновить 7-Zip до версии 25.00 и выше.