Опасная уязвимость в архиваторе захватывает компьютеры: как защититься

Исследователи ZDI (Trend Micro) 7 октября 2025 года опубликовали данные о двух серьёзных баг-ах в обработке ZIP-архивов в 7-Zip.

Уязвимости получили номера CVE-2025-11001 и CVE-2025-11002 и оценены в 7.0 по шкале CVSS.

Суть простая и опасная. Злоумышленник кладёт в архив «мягкие» ссылки (symlinks). При распаковке 7-Zip может записать файлы вне целевой папки — туда, где у пользователя есть права. В результате атакующий может поместить полезную нагрузку и запустить её с правами текущего пользователя. Достаточно открыть или распаковать архив.

Разработчик 7-Zip, Игорь Павлов, уже выпустил исправления: версия 25.00 вышла в июле (первое исправление), стабильной считается 25.01, выпущенная в августе. Тем не менее публичное раскрытие деталей прошло только в октябре, поэтому часть пользователей до сих пор остаётся уязвимой.