Kompresujesz pliki? Jesteś zagrożony. Poważne luki pozwalają przejąć komputer

Popularne narzędzie do kompresji 7-Zip ponownie znalazło się w centrum uwagi po ujawnieniu dwóch poważnych luk w zabezpieczeniach, które przez wiele miesięcy pozostawały nieznane opinii publicznej. Błędy, oznaczone jako CVE-2025-11001 i CVE-2025-11002, umożliwiały atakującym wykonanie dowolnego kodu na komputerze ofiary poprzez nakłonienie jej do otwarcia złośliwego archiwum ZIP.

Informacje o problemach zostały zgłoszone 7 października przez Zero Day Initiative (ZDI), dział bezpieczeństwa należący do firmy Trend Micro. Jak się okazało, luki zostały naprawione już w lipcu, w wersji 7-Zip 25.00, jednak twórca programu, Igor Pawłow, nie ujawnił wówczas, że aktualizacja obejmuje krytyczne poprawki bezpieczeństwa. Dopiero po trzech miesiącach ZDI upubliczniło szczegóły, wskazując na ryzyko zdalnego wykonania kodu w systemach Windows.

Z uwagi na brak mechanizmu automatycznych aktualizacji, wielu użytkowników pozostało przez ten czas narażonych. 7-Zip wymaga ręcznego pobrania nowej wersji, a starsze edycje przenośne wciąż są szeroko używane, zarówno w środowiskach domowych, jak i firmowych.

Jak działał atak

Podstawą problemu był sposób, w jaki 7-Zip analizuje łącza symboliczne w archiwach ZIP. Złośliwie spreparowany plik mógł wykorzystać ten mechanizm, by opuścić katalog, w którym powinno nastąpić rozpakowanie danych, i zapisać pliki w innych lokalizacjach systemowych. Taka eskalacja pozwalała przemycić ładunek złośliwego kodu, który mógł zostać uruchomiony z uprawnieniami użytkownika.

Zero Day Initiative określiło te błędy jako podatność typu directory traversal prowadzącą do zdalnego wykonania kodu. Ich podstawowy wynik CVSS wynosi 7,0, co klasyfikuje je jako zagrożenia o wysokim poziomie ryzyka.

Eksploatacja luk wymagała interakcji ze strony użytkownika, ale wystarczyło jedynie otworzyć lub wyodrębnić archiwum. Od tego momentu łańcuch dowiązań symbolicznych umożliwiał atakującemu zmianę przepływu wykonywania kodu i przejęcie kontroli nad systemem.

Wielomiesięczne zagrożenie

Publiczne ujawnienie problemu po tak długim czasie wywołało krytykę wśród ekspertów ds. cyberbezpieczeństwa. Wielu zwraca uwagę na fakt, że brak przejrzystej komunikacji ze strony dewelopera naraża użytkowników na poważne ryzyko. Wersja 25.00 naprawiła błędy, ale użytkownicy, którzy nie śledzą regularnie changelogów, mogli nie mieć świadomości, że aktualizacja ma charakter krytyczny.

Obecna stabilna edycja 7-Zip, oznaczona numerem 25.01, ukazała się w sierpniu. Obejmuje ona nie tylko poprawki dla CVE-2025-11001 i CVE-2025-11002, ale także usprawnienia w obsłudze archiwów RAR i plików COM.

7-Zip bez automatycznych aktualizacji

W przeciwieństwie do wielu współczesnych narzędzi, 7-Zip nie posiada funkcji automatycznego sprawdzania i instalowania nowych wersji. Aktualizacje trzeba przeprowadzać ręcznie, co w praktyce sprawia, że znaczna część użytkowników korzysta ze starszych, niezałatanych wersji. W środowiskach korporacyjnych program często funkcjonuje jako aplikacja przenośna, pomijana przez centralne systemy zarządzania poprawkami.

Ta sytuacja pokazuje, jak trudne jest utrzymanie bezpieczeństwa w przypadku oprogramowania typu open source, które nie korzysta z mechanizmów automatycznej dystrybucji aktualizacji.

Kolejna luka w historii 7-Zip

To nie pierwszy przypadek, gdy popularny program znalazł się w centrum incydentu bezpieczeństwa. Na początku 2025 roku głośno było o błędzie CVE-2025-0411, który pozwalał na obejście zabezpieczeń Windows Mark-of-the-Web. Atakujący mogli ukrywać pochodzenie plików z internetu poprzez zagnieżdżanie ich w archiwach ZIP, przez co system nie oznaczał ich jako potencjalnie niebezpiecznych. Luka ta została załatana w wersji 24.09.

Jak się zabezpieczyć

Eksperci rekomendują natychmiastowe pobranie wersji 7-Zip 25.01 lub nowszej bezpośrednio ze strony projektu. Aktualizacja przebiega bez utraty konfiguracji i ustawień. Do czasu jej wykonania należy unikać rozpakowywania archiwów pochodzących z nieznanych źródeł, zwłaszcza tych przesyłanych przez e-mail lub komunikatory.awniane luki.