近日,流行开源压缩工具7-Zip的两个高危漏洞被披露,攻击者可能通过诱使用户打开恶意ZIP文件来执行任意代码。
这两个漏洞分别为CVE-2025-11001和CVE-2025-11002,由Trend Micro的Zero Day Initiative(ZDI)于10月7日报告,这两个漏洞的CVSS基础评分均为7.0,属于高危级别,相关问题已在7月修复。
这两个漏洞的根源在于7-Zip解析ZIP文件中的符号链接的方式,攻击者可以通过精心设计的恶意存档文件,突破其预定的解压缩目录,并在系统中其他位置写入文件。
如果将这些漏洞组合利用,攻击者可以在用户权限下完全执行代码,足以危及Windows环境的安全。
根据ZDI的公告,利用这些漏洞需要用户交互,但门槛极低,只需打开或解压缩恶意文件即可,此后符号链接穿越漏洞可以覆盖或在敏感路径中植入恶意负载,从而劫持执行流程。
7-Zip开发者Igor Pavlov于7月5日发布了25.00版本,修复了这些漏洞,并解决了RAR和COM存档处理中的几个小问题。
当前的25.01稳定版本于8月发布,但直到本周ZDI的公告发布,这些安全细节才被公之于众。
加上7-Zip缺乏自动更新机制,进一步加剧了此类问题,由于用户必须手动更新,而许多人还在使用较旧的便携版本。
为了确保安全,建议用户尽快从7-Zip官网下载25.01或更高版本。
