Новая уязвимость CVE-2025-0411 в архиваторе 7-Zip, 7 баллов по шкале CVSS.
https://www.zerodayinitiative.com/advisories/ZDI-25-045/
7-Zip — отличный бесплатный архиватор. Основная платформа Window 32 и 64 бит, поддерживает работу в командной строке. Есть портированные версии для других систем.
В популярном архиваторе нашли уязвимость, позволяющую обходить защитный механизм Windows Mark-of-the-Web. При извлечении файлов из специально подготовленного архива, имеющего метку Mark-of-the-Web, 7-Zip не передаёт эту метку извлечённым файлам. Злоумышленник может воспользоваться этой уязвимостью для выполнения произвольного кода от имени текущего пользователя.
10 января об уязвимости было сообщено разработчику, 19 января вышел патч. Если вы используете архиватор 7-Zip, то рекомендуется обновить его до последней версии. Уязвимость исправлена в 7-Zip 24.09.
