7-Zip’dagi yangi zaiflik: oddiy arxiv ochish orqali tizimni egallash mumkin

2025-yil 9-avgust kuni kiberxavfsizlik sohasi tadqiqotchisi Landon mashhur 7-Zip arxivlash dasturida xavfli zaiflikni aniqladi. CVE-2025-55188 deb nomlangan ushbu kamchilik, foydalanuvchi zararli arxivni ochganida, hujumchilarga tizimda ixtiyoriy fayllarni yozish va oxir-oqibat zararli kod ishga tushirish imkonini beradi.

Muammo nimada?

Zaiflik 25.01 versiyasidan oldingi barcha 7-Zip versiyalariga ta’sir qiladi. Sababi — arxiv ochish jarayonida symbolic link (ramziy havola) fayllarini noto‘g‘ri qayta ishlash.

Oddiy foydalanuvchi uchun symbolic link – bu boshqa fayl yoki katalogga yo‘naltiruvchi maxsus “ko‘prik”. Ammo agar hujumchi arxiv ichiga xavfli symbolic link joylashtirsa, 7-Zip ularni kuzatib, fayllarni asosiy ochish papkasidan tashqarida, hatto tizimning eng muhim joylariga yozib yuborishi mumkin.

Natijada:

  • Linux’da SSH kalitlari, .bashrc konfiguratsiya fayllari yoki tizim sozlamalari o‘chirilib yoki o‘zgartirilib ketishi mumkin.
  • Windows’da esa qo‘shimcha sharoitlar talab qilinadi: dastur administrator huquqlari bilan ishlashi yoki Developer Mode yoqilgan bo‘lishi kerak.

anchalik xavfli?

Rasmiy CVSS bahosi — 2.7 (past daraja). Lekin kiberxavfsizlik mutaxassislari amaliyotda bu juda xavfli bo‘lishi mumkinligini ta’kidlashmoqda. Chunki:

  • Fayl yo‘llari symbolic link ochilishidan oldin ko‘rsatiladi, bu esa haqiqiy manzilni yashirishga imkon beradi.
  • Bitta arxiv ochish jarayonida hujumchi bir nechta faylni bir vaqtning o‘zida o‘chirishi yoki almashtirishi mumkin.

Yangilanish va himoya choralar

7-Zip’ning 25.01 versiyasi (2025-yil 3-avgust) ushbu zaiflikni bartaraf etadi. Yangi talqinda:

  • Symbolic link bilan ishlash xavfsizroq qilindi.
  • Administratorlar uchun maxsus -snld20 komanda kaliti qo‘shildi (zarurat bo‘lganda xavfsizlik tekshiruvlarini chetlab o‘tish imkonini beradi).

Tavsiya etiladi:

  1. Darhol 7-Zip’ni 25.01 yoki undan yangi versiyaga yangilash.
  2. Ishonchsiz manbalardan olingan arxivlarni ochmaslik.
  3. Shubhali fayllarni sandbox yoki izolyatsiya qilingan muhitda tekshirish.
  4. Tashkilotlarda barcha qurilmalardagi 7-Zip versiyalarini tekshirish (avtomatik yangilash funksiyasi yo‘q).

7-Zip — butun dunyo bo‘ylab millionlab foydalanuvchilar ishlatadigan eng mashhur arxivlash dasturlaridan biri. Ammo bu kabi zaifliklar, hatto oddiy arxiv ochish amali ham katta xavfsizlik xavfiga aylanishi mumkinligini yana bir bor isbotlamoqda.

So‘nggi yillarda 7-Zip’da bir nechta zaifliklar aniqlangan (CVE-2025-0411, CVE-2024-11477 va boshqalar), bu esa foydalanuvchilar va tizim administratorlaridan doimiy hushyorlikni talab qiladi.