CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

O nouă vulnerabilitate identificată în 7-Zip

21 iulie 2025

Sursă: https://cybersecuritynews.com/

A fost identificată o vulnerabilitate de tip memory coruption în popularul instrument de arhivare a fișierelor 7-Zip, care permite atacatorilor să declanșeze atacuri de tip denial-of-service prin crearea de fișiere de arhivă RAR5 malițioase.

Vulnerabilitatea, identificată ca CVE-2025-53816 și denumită GHSL-2025-058, afectează toate versiunile de 7-Zip anterioare versiunii 25.00.

Vulnerabilitatea provine dintr-o eroare de tip heap-based buffer overflow în implementarea decodor-ului RAR5 al 7-Zip. Mai exact, vulnerabilitatea apare în componenta NCompress::NRar5::CDecoder atunci când software-ul încearcă să recupereze din datele de arhivă corupte prin umplerea secțiunilor afectate cu zerouri.

Cauza principală constă într-un calcul greșit al valorii rem în timpul operațiunilor de inițializare a memoriei. La prelucrarea arhivelor RAR5, decoder-ul apelează My_ZeroMemory(_window + _winPos, (size_t)rem) unde parametrul rem este calculat ca _lzEnd – lzSize.

Cu toate acestea, variabila _lzEnd depinde de dimensiunea elementelor precedente din arhivă, care poate fi controlată de atacatori.

Această eroare de calcul permite atacatorilor să înregistreze zerouri dincolo de bufferul heap alocat, putând corupe zonele de memorie adiacente și provocând blocarea aplicației.

7-Zip este una dintre cele mai utilizate soluții de arhivare a fișierelor din lume, site-ul oficial primind peste 1,3 milioane de vizite lunare, iar software-ul fiind descărcat de milioane de ori prin diverse canale de distribuție.

Persoanele rău intenționate exploatează în mod regulat vulnerabilitățile de procesare a arhivelor pentru a ocoli măsurile de securitate și pentru a furniza payload-uri.

Specialiștii în securitate recomandă insistent ca toți utilizatorii 7-Zip să actualizeze imediat la versiunea 25.00 sau la o versiune ulterioară. Deoarece 7-Zip nu are funcționalitate de actualizare automată, utilizatorii trebuie să descarce și să instaleze manual cea mai recentă versiune de pe site-ul oficial.

Sursă: https://cybersecuritynews.com/7-zip-vulnerability-crash-system/

Ai mai putea citi

Vulnerabilitate critică identificată în Juniper Networks PTX

27 februarie 2026

Trend Micro avertizează asupra unor vulnerabilități în Apex One

27 februarie 2026

PoC lansat pentru o vulnerabilitate din Windows

26 februarie 2026

Vulnerabilitatea din Cisco SD-WAN exploatată în atacuri zero-day din 2023

26 februarie 2026
© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |