7-Zip arxivatorida aniqlangan zaifliklar tizimni masofadan boshqarish imkonini beradi
Mashhur 7-Zip dasturida ikki xavfli darajadagi xavfsizlik zaifligi topildi. Bu xatoliklardan foydalangan kiberjinoyatchilar masofadan turib kompyuterda istalgan buyruqni bajaruvchi zararli kod ishga tushirishi mumkin.
Ushbu zaifliklar CVE-2025-11001 va CVE-2025-11002 raqamlari bilan ro‘yxatga olingan bo‘lib, ular 25.00 versiyasigacha bo‘lgan barcha 7-Zip versiyalariga ta’sir qiladi. Mutaxassislar foydalanuvchilarga dasturini tezda yangilashni qat’iy tavsiya etmoqda.
Zaiflikning sababi 7-Zip dasturining ZIP arxivlaridagi symbolic link (ramziy havolalar) bilan noto‘g‘ri ishlashi bilan bog‘liq.
Agar foydalanuvchi zararli ZIP faylni ochsa, dastur xatolik sababli fayllarni kerakli papkadan tashqariga yozib qo‘yishi mumkin. Shu tariqa, zararli dasturlar tizimning muhim joylariga joylashtiriladi va foydalanuvchi bundan bexabar qoladi.
🔹 Foydalanuvchi arxivni ochsa — tizim xavf ostida
Bu hujumni amalga oshirish uchun foydalanuvchi o‘zi arxivni ochishi kerak, ammo natija og‘ir bo‘lishi mumkin. Agar hujum muvaffaqiyatli kechsa, tajovuzkor 7-Zip foydalanuvchisi nomidan tizimda istalgan amallarni bajara oladi.
Bu holat ma’lumotlarning o‘g‘irlanishi, tizim buzilishi yoki ransomware (fidyaga asoslangan zararli dastur) o‘rnatilishiga olib kelishi mumkin.
🔹 Zaifliklar tafsiloti
Mutaxassislar har ikkala zaiflikni CVSS 3.0 tizimida 7.0 ball bilan baholagan — bu “yuqori xavf” darajasini bildiradi.
| CVE raqami | Ta’sirlangan versiyalar | Xavf tavsifi | Xavf darajasi |
|---|---|---|---|
| CVE-2025-11001 | 7-Zip (25.00 gacha) | Symbolic link orqali kod bajarish | 7.0 (High) |
| CVE-2025-11002 | 7-Zip (25.00 gacha) | Symbolic link orqali kod bajarish | 7.0 (High) |
🔹 Yangilanish orqali muammo bartaraf etilgan
7-Zip ishlab chiquvchisi bu zaifliklarni 25.00 versiyada to‘liq tuzatganini ma’lum qildi. Shu sababli, foydalanuvchilarga dasturini darhol eng so‘nggi versiyaga yangilash tavsiya qilinmoqda.
Bu zaifliklar haqida ishlab chiquvchiga 2025-yil 2-may kuni xabar berilgan, jamoatchilik uchun esa 2025-yil 7-oktabrda rasmiy ogohlantirish e’lon qilingan.
🔹 Tadqiqot mualliflari
Ushbu zaifliklarni yaponiyalik kiberxavfsizlik mutaxassisi Ryota Shiga (GMO Flatt Security Inc.) aniqlagan. U takumi-san.ai loyihasi bilan hamkorlikda tahlil olib borgan. Ularning mas’ul tarzda xabar berishi tufayli 7-Zip foydalanuvchilari xavfdan erta ogohlantirilgan.
🔹 Xulosa va tavsiyalar
7-Zip kabi ishonchli dasturlar ham ba’zan zaifliklardan holi bo‘lmaydi. Shu sababli foydalanuvchilar quyidagilarga amal qilishlari zarur:
- Dasturlarni rasmiy saytlardan yuklab oling;
- Yangilanishlarni kechiktirmang;
- Noma’lum manbadan kelgan arxiv fayllarni ochmang.
Aks holda, oddiy arxiv fayl orqali ham butun tizim kiberhujum ostida qolishi mumkin.
