Критическая уязвимость, обнаруженная в популярном архиваторе 7-Zip, ставит под угрозу безопасность миллионов пользователей по всему миру. Уязвимость, получившая идентификатор CVE-2025-55188, позволяет злоумышленникам записывать произвольные файлы на системы жертв и потенциально выполнять вредоносный код. Проблема затрагивает все версии программы, выпущенные до недавнего обновления 25.01.
Подробности уязвимости
Суть уязвимости, обнаруженной независимым исследователем безопасности, известным под псевдонимом lunbun, заключается в некорректной обработке символических ссылок (symlinks) в процессе извлечения файлов из архивов. Когда пользователь распаковывает специально сформированный архив, содержащий злонамеренные символьные ссылки, 7-Zip не проводит необходимую проверку их безопасности. Вместо корректного извлечения содержимого, программа следует по пути, указанному в ссылке, что приводит к возможности перезаписи существующих файлов в произвольных, часто критически важных, местах файловой системы.
Наиболее подвержены эксплуатации данной уязвимости системы под управлением Linux. Это связано с тем, что в этой операционной системе создание символических ссылок не требует повышенных привилегий. Уязвимость проявляется при работе с широко распространенными форматами архивов, включая ZIP, TAR, 7Z и RAR. Эксплуатация на платформе Windows возможна, но требует выполнения дополнительных условий: либо запуск процесса извлечения с правами администратора, либо активация Режима разработчика (Developer Mode), который разрешает создание символьных ссылок обычным пользователям.
Последствия успешной атаки могут быть крайне серьезными. Исследователь lunbun в своем отчете детализирует сценарии, при которых злоумышленники могут получить несанкционированный доступ к системе или обеспечить свое постоянное присутствие в ней. Это достигается путем перезаписи ключевых конфигурационных файлов, таких как SSH-ключи для доступа к серверам или файлы вроде ".bashrc", выполняемые при запуске командной оболочки. Перезапись других системных компонентов или исполняемых файлов также открывает путь к выполнению произвольного вредоносного кода. Важным аспектом является возможность многократных попыток эксплуатации в рамках извлечения одного архива, что повышает шансы злоумышленника на успех.
Особую дискуссию вызвала официальная оценка тяжести уязвимости. Система Common Vulnerability Scoring System (CVSS) присвоила CVE-2025-55188 балл 2.7 (Низкий риск), классифицируя атаку как локальную (AV:L), требующую высоких условий эксплуатации (AC:H) и взаимодействия пользователя (UI:R), с ограниченным влиянием на конфиденциальность (C:N) и доступность (A:N), и незначительным влиянием на целостность (I:L). Исследователь lunbun категорически не согласен с этой оценкой, считая ее существенно заниженной и не отражающей реального потенциала уязвимости для компрометации систем, особенно Linux. lunbun официально обратился в MITRE, организацию, поддерживающую базу CVE, с запросом на пересмотр оценки CVSS и предложил предоставить доказательство концепции (PoC) для демонстрации реальной опасности, особенно сопровождающим пакетных репозиториев, ответственным за распространение ПО.
Разработчик 7-Zip, Игорь Павлов, оперативно отреагировал на сообщение об уязвимости. Выпущенная версия 25.01 содержит исправление, устраняющее проблему с неправильной обработкой символических ссылок. Эксперты по безопасности настоятельно рекомендуют всем пользователям и администраторам немедленно обновиться до этой версии. Особое внимание следует уделить Linux-системам, где уязвимость эксплуатируется наиболее легко и представляет наибольшую опасность.
Для организаций и пользователей, которые не могут немедленно выполнить обновление, критически важно соблюдать повышенную осторожность. Следует избегать извлечения архивов, полученных из непроверенных или ненадежных источников. В качестве временной меры предосторожности рекомендуется использовать альтернативные инструменты для распаковки подозрительных файлов. Регулярное обновление программного обеспечения остается ключевым принципом защиты от постоянно появляющихся угроз кибербезопасности.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2025-55188
- https://seclists.org/oss-sec/2025/q3/82
- https://www.cve.org/CVERecord?id=CVE-2025-55188
- https://sourceforge.net/p/sevenzip/discussion/45797/thread/da14cd780b/
- https://github.com/ip7z/7zip/releases/tag/25.01
- https://github.com/ip7z/7zip/compare/25.00...25.01
