7-Zip两大高危漏洞预警:远程代码执行风险,请速升级
10月12日最新消息,近期曝光了流行开源压缩软件7-Zip的两个高危安全漏洞,攻击者可能通过诱骗用户打开特制ZIP文件来实现任意代码执行。
这两个编号为CVE-2025-11001和CVE-2025-11002的漏洞由趋势科技零日计划(ZDI)在10月7日披露,两项漏洞的CVSS基准评分都达到7.0分,均被评定为高危级别。相关安全问题其实已在今年7月得到修复。
漏洞的根本原因在于7-Zip处理ZIP文件中符号链接的方式存在缺陷。攻击者能够通过精心构造的压缩包文件,突破预设的解压目录限制,将文件写入系统其他位置。
若将这两个漏洞配合使用,攻击者就能在用户权限下实现完整的代码执行,足以威胁Windows系统的安全环境。
根据ZDI发布的说明,利用这些漏洞需要用户进行操作配合,但触发条件十分简单——只需打开或解压恶意文件即可。随后,符号链接穿越漏洞能够覆盖敏感路径或植入恶意载荷,从而劫持系统执行流程。
7-Zip项目维护者Igor Pavlov已于7月5日发布25.00版本修复这些漏洞,同时解决了RAR和COM压缩包处理中的若干细节问题。
当前最新的25.01稳定版虽然在8月就已推出,但直到本周ZDI发布安全公告,这些漏洞的具体细节才正式对外公开。
加之7-Zip本身不具备自动更新功能,使得问题更加棘手。由于用户必须手动升级程序,而很多用户仍在继续使用旧版的便携版本。
为确保系统安全,建议所有用户立即前往7-Zip官网下载25.01或更新版本。
相关攻略
3月11日消息,压缩软件用户群体中常有WinRAR与7-Zip的优劣之争,然而最近曝光的一项底层漏洞却让所有用户同时陷入危机。网络安全公司Bombadil Systems的研究员Chris Aziz
10月12日消息,近日,流行开源压缩工具7-Zip的两个高危漏洞被披露,攻击者可能通过诱使用户打开恶意ZIP文件来执行任意代码。这两个漏洞分别为CVE-2025-11001和CVE-2025-110
热门专题
热门推荐
公安部就电子数据取证规则公开征求意见,拟将网络安全等行政案件纳入适用范围,并规范取证流程与核心概念。新规特别明确了获取密码、调取通讯内容等特殊程序,需经严格审批并保障当事人权利。配套法律文书也同步优化,以构建更规范且注重权利保障的取证体系。
理想L9和LIvis的定价策略刚掀起波澜,小鹏GX的最终价格就给出了更猛烈的回应——从近40万元的预售价直降至27万元起。用小鹏产品矩阵负责人吴安飞的话说,这叫“9系的产品,8系的价格”。 这12万元的下调,效果堪称立竿见影。发布会次日,小鹏集团港股股价一度大涨超8%。更关键的是市场订单:上市12小
5月21日,环塔拉力赛新疆且末赛段大营迎来了一位备受瞩目的访客——知名零售企业胖东来的创始人于东来。他专程前往长城汽车车队营地,与参赛车手及后勤团队进行了深度交流。据悉,于东来此次自驾越野之旅已历时一月,随行车队中包含多款国产越野车型。经过实地驾驶与多维度对比,他对以长城汽车为代表的国产越野车品质给
比特币官方入口在哪里?一个核心门户的权威指南 说起比特币,很多人第一反应是去找它的“官网”或“官方App”。但这里有个关键点需要先理清:比特币本质上是一种去中心化的全球数字货币,它不属于任何一家公司或机构,而是由一个庞大的、遍布全球的社区共同维护。因此,它并没有传统意义上由某个企业运营的“官方网站”
Ring-2 5-1T是什么 在当今大模型技术激烈竞争的赛道上,追求更长的上下文处理能力和更强大的深度推理性能已成为核心焦点。近日,蚂蚁集团旗下的inclusionAI团队重磅开源了Ring-2 5-1T模型,这是一个参数规模高达万亿级别的混合线性思考大语言模型。该模型基于先进的Ling 2 5架构