新的 7-Zip 高危漏洞可能让远程攻击者入侵系统

建议用户尽快升级到version 25

最近披露的7-Zip 中的两个漏洞可能让攻击者通过诱导用户打开恶意的 ZIP 压缩包来执行任意代码。

这些漏洞由 Trend Micro 的 Zero Day Initiative（ZDI）于 10 月 7 日披露，影响多个版本的流行开源压缩软件，并已在 7 月悄然修复。

根据 ZDI 的公告，想要利用这些漏洞只需用户操作，比如打开或解压一个恶意压缩包，就能触发漏洞。

通过符号链接遍历漏洞，攻击者可以覆盖或在敏感路径中放置恶意代码，从而劫持程序的执行流程。ZDI 将这两个漏洞归类为目录遍历漏洞，可能导致在服务账户权限下的远程代码执行。

被追踪为 CVE-2025-11001 和 CVE-2025-11002 的漏洞，源于 7-Zip 在解析 ZIP 文件中的符号链接时的处理方式。攻击者可以利用精心制作的压缩包，绕过预设的解压目录，将文件写入系统的其他位置。当多个漏洞结合利用时，这可能会升级为在与用户相同的权限下执行完整的代码，从而危及 Windows 系统的安全。这两个漏洞的 CVSS 基础分数均为 7.0。

🗒 标签: #7Zip #安全漏洞
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

7-Zip 严重漏洞曝光，绕过 Windows 安全机制执行恶意代码

7-Zip 文件压缩工具近期被曝存在一个高危安全漏洞，允许攻击者绕过 Windows 的「Mark of the Web (MotW)」安全机制，在提取恶意文件时执行任意代码。该漏洞已被分配编号 CVE-2025-0411。

7-Zip 的开发者 Igor Pavlov 已于 2024 年 11 月 30 日发布 7-Zip 24.09 版本修复此问题。他指出：「7-Zip 文件管理器未能对嵌套压缩档中提取的文件传递 Zone.Identifier 资料流。」该漏洞目前已解决。

由于 7-Zip 不支持自动更新，许多用户仍可能在使用易受攻击的旧版本。建议所有用户立即升级至最新版本，以避免潜在威胁。

🗒 标签: #7ZIP #Windows
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot