https://www.7-zip.org/
https://www.7-zip.org/download.html
1 月 22 日消息,科技媒体 bleepingcomputer 昨日(1 月 21 日)发布博文,报道称压缩工具 7-Zip 被曝出一个高危漏洞(CVE-2025-0411),推荐用户尽快升级到 2024 年 11 月 30 日发布的 24.09 版本。
攻击者可以利用该漏洞,绕过 Windows 的“网络标记”(Mark of the Web,简称 MotW)安全功能,在用户从嵌套压缩包中解压恶意文件时执行恶意代码。
注:自 2022 年 6 月 22.00 版本起,7-Zip 开始支持 MotW,会自动为从下载的压缩包中提取的所有文件添加 MotW 标记(特殊的“Zone.Id”备用数据流)。
该标记会告知操作系统、Web 浏览器和其他应用程序,这些文件可能来自不受信任的来源,应谨慎处理。通常情况下,双击带有 MotW 标记的可执行文件或打开文档时,用户会收到安全警告,Microsoft Office 也会以“保护视图”打开文档,禁用宏等功能。
该漏洞主要是因为 7-Zip 在处理含 MotW 标记的压缩包时,未能将 MotW 标记沿用到提取的文件,导致解压过程留下可乘之机,可以执行任意代码。
Trend Micro 的报告指出,该漏洞需要用户交互才能被利用,例如访问恶意网页或打开恶意文件。攻击者可以制作带有 MotW 标记的特殊压缩包,其中包含嵌套的恶意文件。
当用户使用存在漏洞的 7-Zip 版本解压该压缩包时,由于 MotW 标记未被正确传播,恶意文件将绕过安全警告直接执行。
7-Zip 开发者 Igor Pavlov 已于 2024 年 11 月 30 日发布了 24.09 版本,修复了该漏洞。然而,由于 7-Zip 没有自动更新功能,许多用户可能仍在运行易受攻击的版本,面临被恶意软件感染的风险。类似的 MotW 绕过漏洞曾被 DarkGate 和 Water Hydra 等黑客组织利用,传播恶意软件。
