New 7-Zip high-severity vulnerabilities expose systems to remote attackers — users should update to version 25 ASAP | Tom's Hardware

آسیب‌پذیری‌های جدی جدید در 7-Zip سیستم‌ها را در معرض حملات از راه دور قرار می‌دهد

دو آسیب‌پذیری تازه افشا شده در 7-Zip می‌توانند به مهاجمان اجازه دهند با فریب کاربران برای باز کردن یک آرشیو ZIP مخرب، کدهای دلخواه را اجرا کنند. این مشکلات که در 7 اکتبر گزارش شدند توسط Zero Day Initiative (ZDI) ترند میکرو، چندین نسخه از ابزار فشرده‌سازی محبوب و متن‌باز را تحت تأثیر قرار داده و بی‌سروصدا در ماه جولای رفع شده بودند.

این نقص‌ها که با شناسه‌های CVE-2025-11001 و CVE-2025-11002 ردیابی می‌شوند، از نحوه تجزیه لینک‌های نمادین (symbolic links) توسط 7-Zip در فایل‌های ZIP ناشی می‌شوند. در اصل، یک آرشیو دستکاری شده می‌تواند از دایرکتوری استخراج مورد نظر خود خارج شده و فایل‌ها را در مکان‌های دیگر سیستم بنویسد. هنگامی که این نقص‌ها به هم زنجیر شوند، می‌توانند به اجرای کامل کد با همان امتیازات کاربر منجر شوند که برای به خطر انداختن یک محیط ویندوز کافی است. هر دو آسیب‌پذیری دارای امتیاز پایه CVSS 7.0 هستند.

بر اساس توصیه ZDI، بهره‌برداری از این آسیب‌پذیری‌ها نیاز به تعامل کاربر دارد، اما این آستانه پایین است؛ صرفاً باز کردن یا استخراج یک آرشیو مخرب کافی است. از آنجا، نقص پیمایش لینک نمادین می‌تواند بارگذاری‌های مخرب را در مسیرهای حساس بازنویسی یا قرار دهد و به مهاجم اجازه دهد جریان اجرا را ربوده. ZDI هر دو باگ را به عنوان پیمایش دایرکتوری (directory traversal) طبقه‌بندی می‌کند که منجر به اجرای کد از راه دور در زمینه حساب سرویس می‌شود.

ایگور پاولوف، توسعه‌دهنده 7-Zip، نسخه 25.00 را در 5 جولای منتشر کرد که آسیب‌پذیری‌ها را به همراه چندین مشکل کوچک‌تر در مدیریت آرشیوهای RAR و COM رفع کرد — نسخه پایدار فعلی، 25.01، در ماه آگوست منتشر شد. با این حال، افشای عمومی جزئیات امنیتی تا این هفته که توصیه‌های ZDI منتشر شد، اتفاق نیفتاد. این بدان معناست که کاربرانی که از اوایل تابستان به‌روزرسانی نکرده‌اند، ماه‌ها بدون اطلاع از آن آسیب‌پذیر باقی مانده‌اند.

فقدان مکانیزم به‌روزرسانی خودکار، مشکلاتی از این دست را تشدید می‌کند. 7-Zip باید به صورت دستی به‌روزرسانی شود و بسیاری از کاربران به نسخه‌های قابل حمل قدیمی‌تر تکیه می‌کنند. حتی در تنظیمات سازمانی، اغلب از سیستم‌های مدیریت پچ فرار می‌کند زیرا از طریق Windows Installer یا یک مخزن مرکزی نصب نمی‌شود.

اوایل امسال، CVE-2025-0411 به دلیل اجازه دادن به مهاجمان برای دور زدن محافظت‌های Mark-of-the-Web ویندوز با تو در تو کردن فایل‌های ZIP مخرب، که به طور موثر پرچم‌های هشدار “از اینترنت” را از فایل‌های دانلود شده حذف می‌کرد، خبرساز شد. این نقص در نسخه 24.09 رفع شد.

برای محافظت، نسخه 25.01 یا جدیدتر 7-Zip را مستقیماً از سایت رسمی پروژه دانلود کنید. نصب‌کننده تنظیمات موجود شما را بدون تأثیر بر ترجیحات ارتقا خواهد داد. تا زمانی که به‌روزرسانی نکرده‌اید، از استخراج آرشیوها از منابع تأیید نشده خودداری کنید.