导语: 全球广泛使用的免费开源压缩软件 7-Zip 近日被曝存在两个高危安全漏洞。攻击者可利用这些漏洞,通过精心制作的 ZIP 压缩包在受害者电脑上远程执行恶意代码。安全专家强烈建议所有用户立即升级至最新发布的 25.00 版本。
一、 漏洞详情与严重性
此次发现的两个漏洞编号分别为 CVE-2025-11001 和 CVE-2025-11002。根据通用漏洞评分系统(CVSS 3.0),两者均被评定为 7.0 分(高危级别)。
所有 v25.00 之前的 7-Zip 版本均受漏洞影响。这意味着绝大多数现有用户都处于风险之中。
二、 漏洞原理:压缩包变身为“特洛伊木马”
漏洞的核心问题出在 7-Zip 对 ZIP 压缩包中的“符号链接”(Symbolic Link) 处理不当。
- 什么是符号链接? 你可以将其理解为 Windows 系统中的“快捷方式”,但它功能更强大,可以指向系统中的任何文件或文件夹。
- 攻击如何发生? 攻击者可以创建一个包含恶意符号链接的 ZIP 文件。当用户在存在漏洞的 7-Zip 版本中解压这个文件时,程序会错误地跟随这些符号链接的指向。
- 最终后果: 这会导致一种名为 “目录遍历”(Directory Traversal) 的攻击。解压出来的文件不会被释放到预期的当前文件夹,而是被“劫持”并写入到系统其他任意位置,例如敏感的系统目录或启动文件夹。
三、 攻击场景与潜在危害
虽然利用此漏洞需要用户“上钩”——即亲自解压恶意压缩包,但一旦操作完成,后果十分严重:
- 低门槛触发: 攻击者可能通过钓鱼邮件、论坛分享、虚假软件下载等方式传播恶意压缩包,诱骗用户解压。
- 高权限执行: 成功利用后,攻击者植入的恶意程序(如木马、勒索软件、挖矿程序等)将以当前用户的权限在系统上运行。如果用户拥有管理员权限,攻击者便能完全控制整个系统。
- 潜在危害包括:
- 系统被完全控制;
- 敏感数据被窃取;
- 成为勒索软件的攻击目标;
- 被植入后门,作为进一步攻击的跳板。
四、 修复与行动建议
立即更新是唯一有效的防护措施。
7-Zip 官方已于 2025 年 10 月 7 日 发布 v25.00 正式版,彻底修复了上述安全漏洞。
- 更新方法: 请所有用户立即访问 7-Zip 官方网站(https://www.7-zip.org/)下载并安装最新版本。
- 提高警惕: 同时,务必保持安全意识,不要随意打开来源不明的压缩文件。
五、 漏洞披露背景
据悉,这两个漏洞由 GMO Flatt Security Inc. 的安全研究员 Ryota Shiga 发现,并与 takumi-san.ai 团队协作完成披露。研究人员遵循负责任的漏洞披露流程,于 2025 年 5 月 2 日向 7-Zip 团队报告,并在官方发布修复补丁后联合公布了技术细节。
鉴于 7-Zip 在全球拥有数以亿计的用户,其安全性牵涉甚广。尽管漏洞利用有一定复杂性,但其对用户数据的保密性、完整性和可用性构成的威胁是真实且迫切的。请务必尽快行动,更新您的软件。
