В архиваторе 7-Zip обнаружена и исправлена уязвимость, которая позволяла обойти защитную функцию Mark of the Web (MotW) в Windows и выполнить код на компьютере жертвы.
Поддержка MotW появилась в 7-Zip в июне 2022 года, начиная с версии 22.00. С тех пор отметки MotW присваиваются всем файлам, извлеченным из загруженных архивов. Такие отметки информируют ОС, браузеры и другие приложения о том, что файлы могли быть получены из недоверенных источников, то есть к ним следует относиться с осторожностью.
В результате при двойном клике по файлам, извлеченных с помощью 7-Zip, пользователи должны видеть предупреждение о том, что открытие или запуск файлов может повлечь за собой потенциально опасные действия, включая установку вредоносного ПО.
Также на отметку MotW отреагирует Microsoft Office и будет открывать такие документы в режиме Protected View, то есть в режиме только для чтения, с отключенными макросами.
Как пишут исследователи из компании Trend Micro, недавно обнаруженная 7-Zip уязвимость (CVE-2025-0411) позволяла злоумышленникам обходить эти предупреждения и выполнять вредоносный код на компьютерах жертв.
«Уязвимость позволяет удаленным злоумышленникам обойти механизм защиты Mark-of-the-Web в уязвимых версиях 7-Zip. Для эксплуатации проблемы требуется вмешательство пользователя, который должен посетить вредоносную страницу или открыть вредоносный файл, — пишут исследователи. — Недостаток связан с обработкой архивных файлов. При извлечении файлов из MotW-архива, 7-Zip не распространяет отметки MotW на извлеченные файлы. Злоумышленник может использовать эту проблему для выполнения произвольного кода в контексте текущего пользователя».
Разработчик 7-Zip Игорь Павлов устранил эту уязвимость 30 ноября 2024 года, выпустив версию 7-Zip 24.09.
«Файловый менеджер 7-Zip не распространял поток Zone.Identifier на извлеченные файлы из вложенных архивов», — объяснил Павлов.
Поскольку 7-Zip не имеет функции автоматического обновления, пользователям рекомендуется как можно скорее вручную обновить архиватор до безопасной версии.
