Архив или троянский конь? критическая уязвимость в 7-ZIP угрожает миллионам устройств

В инструменте для сжатия файлов 7-Zip обнаружена уязвимость , позволяющая злоумышленникам удаленно выполнять вредоносный код через специально подготовленные архивы. Для устранения проблемы разработчики выпустили обновление, которое необходимо установить вручную, так как программа не поддерживает автоматическую установку обновлений.

уязвимость , зарегистрированная как CVE-2024-11477 с оценкой опасности 7.8 по шкале CVSS, связана с недостаточной проверкой входных данных при обработке файлов, сжатых с использованием алгоритма Zstandard. Это может привести к переполнению памяти и внедрению вредоносного кода. Zstandard активно используется в таких системах, как Btrfs, SquashFS и OpenZFS, а также для HTTP-компрессии, благодаря высокой скорости работы и эффективности сжатия.

Злоумышленники могут использовать уязвимость, отправляя пользователям 7-Zip специально подготовленные архивы, например, через электронную почту или общие сетевые ресурсы. При открытии такого файла возможно внедрение вредоносного кода.

Проблема была выявлена исследователями из Trend Micro's Zero-Day Initiative в июне 2024 года и исправлена в версии 7-Zip 24.07. На данный момент доступна обновленная версия 24.08, которую можно загрузить с официального сайта программы. Пользователям рекомендуется установить последнюю версию или, если использование 7-Zip не является необходимым, удалить программу, так как современные версии Windows File Explorer поддерживают работу с файлами 7-Zip по умолчанию.