10月12日����,有安全公告指出,廣受歡迎的開源壓縮軟件7-zip被曝存在兩個高危安全漏洞���,攻擊者可利用惡意構(gòu)造的zip文件���,在用戶解壓時實現(xiàn)任意代碼執(zhí)行。
這兩個漏洞編號為CVE-2025-11001和CVE-2025-11002�����,由Trend Micro旗下的Zero Day Initiative(ZDI)于10月7日公開披露����。兩者的CVSS基礎(chǔ)評分均為7.0,屬于高風(fēng)險等級�����,相關(guān)修復(fù)早在今年7月已完成�。
問題出在7-Zip處理ZIP歸檔中符號鏈接(Symbolic Links)的方式上。攻擊者可通過特制的壓縮包繞過原本設(shè)定的解壓路徑,將文件寫入系統(tǒng)任意目錄���,從而實現(xiàn)路徑穿越����。
當(dāng)這兩個漏洞被組合使用時�,攻擊者可在當(dāng)前用戶權(quán)限下完全控制執(zhí)行流程,對Windows系統(tǒng)構(gòu)成嚴(yán)重威脅����。
據(jù)ZDI發(fā)布的說明,雖然漏洞利用需要用戶參與�����,但觸發(fā)條件極為簡單——僅需打開或解壓一個惡意文件即可�����。隨后�,通過符號鏈接穿越技術(shù),攻擊者可在關(guān)鍵系統(tǒng)路徑中替換文件或植入惡意程序���,進而劫持應(yīng)用程序行為�。
開發(fā)人員Igor Pavlov已于7月5日推出7-Zip 25.00版本,修補了上述問題���,同時修復(fù)了RAR和COM格式解析中的若干小缺陷�。
目前最新的穩(wěn)定版為8月發(fā)布的25.01版��,然而這些安全細節(jié)直到本周ZDI發(fā)布公告后才被廣泛知曉��。
由于7-Zip未配備自動更新功能����,用戶需手動升級,導(dǎo)致大量用戶仍在使用舊版甚至便攜式版本��,增加了受攻擊風(fēng)險�����。
為保障系統(tǒng)安全�����,官方強烈建議用戶立即前往7-Zip官網(wǎng)下載并安裝25.01或更高版本����。
以上就是請盡快更新���!7-Zip曝出兩個高危漏洞:可遠程執(zhí)行任意代碼的詳細內(nèi)容�����,更多請關(guān)注php中文網(wǎng)其它相關(guān)文章��!
402
收藏![直播實錄:PHP魔鬼訓(xùn)練營[從零開始制作個人博客]](https://img.php.cn/upload/course/000/000/068/6253d9cef2a67984.png)
