7-Zip软件新披露的两个安全漏洞可能允许攻击者通过诱骗用户打开恶意ZIP压缩包来执行任意代码。这两个由趋势科技零日计划(Zero Day Initiative,ZDI)于10月7日报告的漏洞影响该流行开源压缩工具的多个版本,实际已在7月被静默修复。
被标记为CVE-2025-11001和CVE-2025-11002的漏洞源于7-Zip解析ZIP文件内符号链接的方式。精心构造的压缩包可突破预设解压目录,将文件写入系统其他位置。当组合利用时,该漏洞可升级为以用户同等权限执行完整代码,足以破坏Windows系统环境。这两项漏洞的CVSS基础评分均为7.0。
根据ZDI公告,利用过程需要用户交互,但门槛极低——仅需打开或解压恶意压缩包即可。随后通过符号链接遍历漏洞在敏感路径覆盖或植入有效载荷,使攻击者劫持执行流程。ZDI将这两个漏洞归类为“服务账户上下文下导致远程代码执行的目录遍历漏洞”。
7-Zip开发者伊戈尔·帕夫洛夫(Igor Pavlov)于7月5日发布25.00版本,在修复漏洞的同时解决了RAR和COM压缩包处理中的若干小问题。当前稳定版25.01于8月跟进。但安全细节直至本周ZDI公告发布才公开披露,这意味着自夏初以来未更新的用户已在数月内处于未知的暴露状态。
缺乏自动更新机制加剧了此类问题。7-Zip需手动更新,许多用户仍依赖旧版便携版本。即使在企业环境中,由于未通过Windows Installer或中央仓库安装,该软件往往脱离补丁管理系统。
今年早些时候,CVE-2025-0411漏洞曾引发关注,攻击者通过嵌套恶意ZIP文件可绕过Windows的网络标记保护,有效清除下载文件的“来自互联网”警告标志。该漏洞已在24.09版本中修复。
为确保安全,请直接从项目官网下载7-Zip 25.01或更新版本。安装程序将升级现有配置且不影响个性化设置。在更新前请避免解压未经核实的压缩包文件。
