Popularny archiwizator 7-Zip, używany przez miliony do obsługi plików skompresowanych, okazał się podatny na dwie poważne luki w zabezpieczeniach. Oznaczone jako CVE-2025-11001 i CVE-2025-11002, te podatności umożliwiają atakującym wykonanie dowolnego kodu na komputerze ofiary, wystarczy, że otworzy ona specjalnie przygotowane archiwum ZIP.
Błędy w kodzie dotyczą sposobu, w jaki program obsługuje linki w archiwach. Zamiast być ograniczone do zamierzonego folderu rozpakowywania, złośliwe elementy mogą uciekać i zapisywać pliki w innych katalogach systemowych, torując drogę do wykonania nieautoryzowanych poleceń. Kluczowym szczegółem jest to, że udany atak nie wymaga praw administratora; jednak jeśli archiwizator jest uruchamiany z uprawnieniami administratora, konsekwencje mogą być katastrofalne — potencjalnie prowadząc do całkowitego przejęcia systemu.
Programista 7-Zip zajął się tymi lukami w zabezpieczeniach już w lipcu, wydając wersję 25.00. Jednak szczegóły dotyczące podatności zostały ujawnione dopiero teraz. Oznacza to, że każdy, kto nie zaktualizował oprogramowania od wczesnego lata, był przez kilka miesięcy niechroniony, całkowicie nieświadomy ryzyka. Głównym czynnikiem komplikującym jest brak funkcji automatycznej aktualizacji w 7-Zip, co prowadzi wielu użytkowników do korzystania z przestarzałych wersji przez lata.
Eksperci zdecydowanie zalecają sprawdzenie aktualnej wersji archiwizatora. Najnowsza wersja to 25.01, a zainstalowanie nowej wersji nad starą zachowuje wszystkie ustawienia użytkownika. Dopóki nie zaktualizujesz, zaleca się zachowanie szczególnej ostrożności przy obsłudze archiwów z nieznanych źródeł, szczególnie tych otrzymanych za pośrednictwem e-maila lub pobranych z wątpliwych stron internetowych.
Te wiadomości pojawiają się wkrótce po dużej aktualizacji głównego konkurenta 7-Zip, WinRAR. Nowa wersja koncentruje się nie tylko na wydajności i odświeżonym interfejsie, ale także na zwiększonej bezpieczeństwie przetwarzania plików.