7-Zip曝高危漏洞!用户需紧急更新
最近更新时间:2025-10-15 12:05:47 来源:51DNS.COM
电脑里的7-Zip用了好几年没更新,没想到突然曝出高危漏洞。近期,这款全球超10亿用户使用的开源压缩工具成为网络安全焦点。快科技10月12日消息,7-Zip被披露存在两个高危漏洞,攻击者可通过诱骗用户打开恶意ZIP文件执行任意代码,对Windows系统安全构成严重威胁。尽管漏洞已在7月修复,但因软件缺乏自动更新机制,大量用户仍处于风险之中。这两个漏洞具体是什么?危害有多大?用户又该如何紧急防护?
此次7-Zip曝出的漏洞分别为CVE-2025-11001和CVE-2025-11002,由网络安全机构TrendMicro的ZeroDayInitiative(ZDI)于10月7日正式报告。根据CVSS(通用漏洞评分系统)标准,这两个漏洞的基础评分均为7.0,属于高危级别,意味着其具备较高的攻击成功率和危害程度。
值得注意的是,7-Zip开发者IgorPavlov早在7月5日就发布了25.00版本,修复了这两个漏洞及RAR、COM存档处理中的小问题;8月又推出了25.01稳定版本。但由于漏洞细节需遵循安全披露流程,直到10月上旬才由ZDI公之于众,这也给了未更新用户一段“安全空窗期”。
这两个高危漏洞的根源在于7-Zip对ZIP文件中符号链接的解析机制存在缺陷。正常情况下,解压缩工具会将文件提取到用户指定的目录内,而符号链接本应指向目录内的合法文件。但攻击者可通过精心构造恶意ZIP存档,利用漏洞突破预定的解压缩目录限制,将文件写入系统其他敏感位置。
当用户打开或解压缩这类恶意文件时,漏洞会被触发:一方面,攻击者可覆盖系统关键文件;另一方面,可在敏感路径中植入恶意负载,进而劫持程序执行流程。若将两个漏洞组合利用,攻击者能在用户权限下完全执行任意代码,足以操控受影响的Windows设备,窃取数据、植入后门等。
除漏洞本身的危害性外,7-Zip的软件更新机制缺陷进一步放大了风险。与主流软件的自动更新不同,7-Zip缺乏内置的自动更新功能,用户必须手动从官网下载新版本进行安装。这导致大量用户——尤其是习惯使用便携版本或对软件更新不敏感的群体——仍在使用25.00版本之前的旧版本,而这些版本均存在上述高危漏洞。
ZDI在公告中强调,该漏洞的利用门槛极低,无需复杂技术,仅需诱骗用户打开或解压缩恶意ZIP文件即可触发。攻击者可能通过邮件附件、聊天软件分享、恶意下载链接等方式传播恶意文件,普通用户很难分辨文件真伪,风险防范难度较大。
针对此次7-Zip漏洞危机,用户需立即采取以下措施,降低被攻击风险:
1、检查当前版本:打开7-Zip,点击顶部“帮助”→“关于7-Zip”,查看版本号。若版本低于25.00,需立即更新。
2、从官网下载最新版本:通过7-Zip官方网站(https://www.7-zip.org/)下载25.01或更高版本,避免从第三方平台下载,防止安装恶意软件。下载后按照提示完成安装,覆盖旧版本。
3、谨慎处理未知压缩文件:暂时不要打开来源不明的ZIP、RAR等压缩文件,尤其是邮件附件、陌生链接下载的文件。若必须打开,先通过杀毒软件扫描文件安全性。
4、开启系统安全防护:确保WindowsDefender或第三方杀毒软件处于开启状态,及时更新病毒库,启用实时防护功能,拦截潜在的恶意文件和攻击行为。