Выберите отрасль

ИТ-технологииИИ (AI)КибербезопасностьБизнесУстройстваФинансыОбществоТорговляРазвлеченияАвтоМедицинаПромышленностьТранспортТуризмПередовые технологииНедвижимостьЭнергетика
Октябрь 2025   |   Обзор события   | 6

7-Zip уязвим: атаки через архивы и как обновиться

В 7-Zip выявлены две уязвимости, позволяющие злоумышленникам выполнить произвольный код через обработку символьных ссылок в ZIP-файлах. Исправления были внедрены в июле 2025 года, но информация о них стала общедоступной 7 октября, оставляя пользователей, не обновивших программу, под угрозой.

ИСХОДНЫЙ НАРРАТИВ

По данным Trend Micro Zero Day Initiative (ZDI), в популярном открытом архиваторе 7-Zip выявлены две уязвимости, позволяющие злоумышленникам выполнить произвольный код. Идентификаторы уязвимостей — CVE-2025-11001 и CVE-2025-11002 — были исправлены в июле 2025 года, но информация о них стала общедоступной только 7 октября. Это означает, что пользователи, не обновившие программу с начала лета, оставались под угрозой.

Механизм уязвимостей

Проблема связана с обработкой символических ссылок в ZIP-файлах. Эксплуатация позволяет злоумышленнику выйти за пределы целевого каталога и записать файлы в произвольные места системы. При последовательном использовании уязвимостей злоактивность может привести к выполнению кода с привилегиями пользователя. Уровень критичности (CVSS) для каждой уязвимости оценивается как 7.0.

Для активации угрозы достаточно открыть или распаковать вредоносный архив. ZDI классифицирует оба дефекта как уязвимости перехода по каталогам, приводящие к удалённому выполнению кода в контексте служебного аккаунта.

Проблемы с обновлением ПО

Патч для уязвимостей был выпущен в версии 25.00 5 июля 2025 года. Однако автоматического обновления в 7-Zip не предусмотрено. Пользователям необходимо вручную загрузить актуальную версию с официального сайта. В корпоративных средах инструмент часто остаётся вне систем управления патчами, так как он не устанавливается через Windows Installer или централизованные репозитории.

В августе вышла стабильная версия 25.01, включающая дополнительные исправления для обработки архивов RAR и COM. Ранее, в марте 2025 года, ZDI сообщала о другой уязвимости (CVE-2025-0411), позволявшей обойти защиту Mark-of-the-Web в Windows. Эта проблема была решена в версии 24.09.

Рекомендации по защите

Для минимизации рисков рекомендуется обновить 7-Zip до версии 25.01 или выше. Установка через официальный сайт гарантирует сохранение пользовательских настроек. Время до обновления стоит избегать распаковки архивов из непроверенных источников.

Интересно: Как влияет отсутствие автоматического обновления на уязвимости в открытом ПО, и какие альтернативы могут снизить риски для пользователей, не следящих за релизами вручную?

АНАЛИТИЧЕСКИЙ РАЗБОР

Уязвимости в 7-Zip: между удобством и безопасностью

Уязвимости как зеркало системных проблем

7-Zip демонстрирует типичную проблему: отсутствие автоматического обновления приводит к увеличению окна уязвимости. Уязвимости CVE-2025-11001 и CVE-2025-11002 были исправлены в июле 2025 года, но публичное раскрытие произошло в октябре. Это создало риск для пользователей, не обновивших ПО. Аналогичная ситуация наблюдается и в других системах. Например, уязвимость RediShell в Redis, открытой в 2012 году, до сих пор эксплуатируется из-за сложности в обновлении десятков тысяч экземпляров.

Ключевой фактор: отсутствие автоматизации обновлений в 7-Zip. В отличие от корпоративных решений (например, Windows), 7-Zip не интегрируется в системы управления патчами. Это делает его уязвимым в организациях, где архиватор используется как вспомогательный инструмент. Дополнительный риск возникает из-за уязвимостей в других популярных инструментах, таких как пакеты npm, где хакеры внедряют вредоносный код через обновления.

Корпоративные риски и неочевидные последствия

Для бизнеса проблема выходит за рамки одного архиватора. Многие компании используют 7-Zip для обработки файлов из внешних источников. Если архив с вредоносным symlink-кодом попадает в корпоративную сеть, а пользователь не обновил ПО, это может привести к компрометации локальных систем. Особенно критично, если архивы распаковываются с правами администратора.

Неочевидный сценарий: злоумышленники могут использовать уязвимости в 7-Zip как часть более широкой атакующей стратегии. Например, группа Clop использует уязвимости Oracle для одновременного проникновения в десятки организаций. Это подчеркивает необходимость комплексного подхода к безопасности.

Альтернативы и долгосрочные решения

Для минимизации рисков, связанных с ручным обновлением, стоит рассмотреть интеграцию 7-Zip в существующие системы управления патчами. В крупных организациях можно внедрить политику, требующую регулярной проверки версий сторонних инструментов.

Тренд: рост интереса к альтернативным архиваторам с встроенными обновлениями. Например, PeaZip или Bandizip предлагают более современные подходы к безопасности. Это может стать триггером для пересмотра стандартных инструментов в корпоративных средах.

Важный нюанс: Уязвимости в 7-Zip подчеркивают, что даже «доверенные» инструменты требуют системного подхода к безопасности. Отсутствие автоматизации — не недостаток самого ПО, а пробел в стратегии управления рисками.

Долгосрочные последствия для открых решений

Случай с 7-Zip — не первый и, вероятно, не последний. Открытые проекты часто сталкиваются с проблемой ограниченных ресурсов для тестирования и быстрого распространения патчей. Это создает парадокс: чем популярнее инструмент, тем выше вероятность, что его уязвимости будут использованы. Для российских компаний, активно применяющих открытые решения, это требует пересмотра подхода к выбору ПО.

Практический вывод: при выборе стороннего ПО важно учитывать не только функциональность, но и наличие механизмов автоматического обновления. В противном случае, даже небольшие уязвимости могут стать критичными, если не встроить их в корпоративную политику безопасности.

Что за этим стоит? Уязвимости в 7-Zip — это не просто техническая проблема, а сигнал о необходимости пересмотра подходов к управлению рисками в эпоху, когда даже вспомогательные инструменты могут стать слабым звеном.

Дополнительные угрозы в экосистеме

Современные атаки часто используют слабые места в разных слоях инфраструктуры. Например:

  • SAP NetWeaver с критичностью 10/10 позволяет выполнить произвольные команды без авторизации.
  • OnePlus оставила миллионы пользователей без защиты от утечки SMS-сообщений из-за уязвимости в OxygenOS.
    Эти примеры подтверждают, что уязвимости могут возникать в самых неожиданных местах, требуя постоянного мониторинга и быстрой реакции.

Рекомендации:

  • Регулярно проверяйте версии всех используемых инструментов, включая сторонние.
  • Интегрируйте обновления в процессы управления патчами, даже для вспомогательных ПО.
  • Обучайте сотрудников распознавать риски, связанные с непроверенными архивами и пакетами.

Эти меры помогут снизить вероятность компрометации, особенно в условиях, когда уязвимости могут оставаться незамеченными годами.

Контакты Асектор ✉

Коротко о главном

Как работают уязвимости в 7-Zip?

Эксплуатация позволяет злоумышленникам через ZIP-файлы с символическими ссылками записать файлы в произвольные места системы, что может привести к выполнению кода с привилегиями пользователя.

Почему обновление 7-Zip требует ручного вмешательства?

Программа не поддерживает автоматическое обновление, а в корпоративных средах часто остаётся вне систем управления патчами из-за отсутствия установки через Windows Installer.

Какова критичность уязвимостей?

Обе уязвимости получили оценку CVSS 7.0, что указывает на высокий уровень риска из-за возможности удалённого выполнения кода.

Какие версии 7-Zip содержат исправления?

Патч для уязвимостей был выпущен в версии 25.00 (5 июля 2025), а стабильная версия 25.01 (август 2025) добавила дополнительные исправления для архивов RAR и COM.

Были ли другие уязвимости в 7-Zip в 2025 году?

В марте 2025 года ZDI сообщала о CVE-2025-0411, позволявшей обойти защиту Mark-of-the-Web в Windows, которая была решена в версии 24.09.

Инфографика событий

Открыть инфографику на весь экран


Участники и связи

Отрасли: ИТ и программное обеспечение; Кибербезопасность

Темы: Обновление, выполняемое автоматически; Режим удаленного доступа; Уязвимости ПО;

COM-интерфейс Common Vulnerabilities Scoring System Symlinks Trend Micro Zero Day Initiative WinRAR compressor Архиватор 7-Zip Директориальный переход Марк-оф-зе-Веб

Оценка значимости: 6 из 10

Событие затрагивает значительную часть пользователей в России, активно использующих 7-Zip, что связано с рисками для безопасности и необходимостью ручного обновления ПО. Однако масштаб аудитории и глубина последствий ограничены технической сферой, а время воздействия — краткосрочным периодом, не превышающим несколько месяцев. Влияние на другие сферы жизни и долгосрочные изменения минимально, что снижает общую значимость для широкой аудитории.

Материалы по теме

Долг безопасности становится главным фактором стратегического управления рисками для бизнеса
Обзор события
Долг безопасности становится главным фактором стратегического управления рисками для бизнеса
Механизмы восстановления аккаунтов подвергают пароли риску: утечки данных становятся технически возможны
Обзор события
Механизмы восстановления аккаунтов подвергают пароли риску: утечки данных становятся технически возможны
Один клик — контроль над системой: скрытые уязвимости Microsoft, которые игнорируют все
Обзор события
Один клик — контроль над системой: скрытые уязвимости Microsoft, которые игнорируют все
NGINX под угрозой: как уязвимость в трафике подрывает безопасность 34% сайтов интернета
Обзор события
NGINX под угрозой: как уязвимость в трафике подрывает безопасность 34% сайтов интернета
React Server Components подвержены критической уязвимости с 10 баллами риска
Обзор события
React Server Components подвержены критической уязвимости с 10 баллами риска
Российские компании чаще сталкиваются с кибератаками: растёт роль уязвимостей и доверия
Обзор события
Российские компании чаще сталкиваются с кибератаками: растёт роль уязвимостей и доверия
Обнаружены критические уязвимости в Docker: контейнеры могут выйти из изоляции
Обзор события
Обнаружены критические уязвимости в Docker: контейнеры могут выйти из изоляции
Срочно обновить Redis: найдена критическая уязвимость RediShell

Уязвимость RediShell в Redis, открытая в 2012 году, использована как аналогия для иллюстрации проблемы долгосрочных уязвимостей в 7-Zip. Её упоминание подчеркивает, как отсутствие автоматизации обновлений создаёт риски для десятков тысяч экземпляров, особенно без аутентификации.

Подробнее →
Хакеры Clop используют уязвимости Oracle и требуют миллионы

Упоминание группы Clop и её использования уязвимостей Oracle служит примером масштабных атак, использующих нулевые дни. Это усиливает аргумент о необходимости комплексного подхода к безопасности, особенно в корпоративных средах.

Подробнее →
SAP нашла опасные уязвимости: сильная угроза для корпоративных систем

Уязвимость SAP NetWeaver с критичностью 10/10, позволяющая выполнение произвольных команд без авторизации, приведена как пример неожиданных слабых мест в экосистеме. Это подтверждает тезис о необходимости мониторинга даже самых популярных инструментов.

Подробнее →
OnePlus оставила миллионы пользователей без защиты - свободный доступ к их SMS

Уязвимость в OnePlus, связанная с утечкой SMS через модифицированную систему Telephony, используется для демонстрации, как уязвимости могут возникать в «непреднамеренных» местах. Это поддерживает идею о важности регулярной проверки всех инструментов, включая сторонние.

Подробнее →
Хакеры украли криптовалюту через заражённые пакеты npm

Утечка криптовалюты через заражённые пакеты npm показывает, как вредоносный код может внедряться через обновления. Это служит аргументом в пользу интеграции обновлений в процессы управления патчами, даже для вспомогательных ПО.

Подробнее →
Сайт использует cookie-файлы и возможности Яндекс.Метрики. Продолжая пользоваться сайтом, вы подтверждаете свое согласие на использование файлов cookie и принимаете пользовательское соглашение.