7-Zip 存在两处漏洞，或引发拒绝服务攻击

安全客 11小时前

../../../zaker_core/zaker_tpl_static/wap/tpl_guoji1.html

全球广泛使用的开源压缩工具7-Zip被披露存在两个新的安全漏洞，编号分别为CVE-2025-53816和CVE-2025-53817，影响7-Zip 25.0.0版本之前的所有版本。这两个漏洞的CVSS v4基础评分为5.5，属于中等严重级别。尽管目前认为它们不会导致远程代码执行，但可能引发内存损坏和拒绝服务（DoS）问题。其中，CVE-2025-53816存在于7-Zip处理RAR5压缩包时，可能导致堆缓冲区外写入零值，引发内存损坏和拒绝服务；CVE-2025-53817则影响复合文档格式文件的提取，可能导致程序崩溃。最新发布的7-Zip 25.0.0版本已修复这两个漏洞，建议用户立即更新以保障安全。

🎛️ **7-Zip两漏洞影响广泛，威胁中等但需警惕**：研究人员发现了两个针对7-Zip的新漏洞（CVE-2025-53816和CVE-2025-53817），这两个漏洞影响了7-Zip 25.0.0版本之前的几乎所有用户。虽然它们被评为中等严重级别（CVSS v4基础评分为5.5），但可能导致内存损坏和拒绝服务（DoS）攻击，尤其是在处理来自不可信来源的文件时，用户应立即关注并采取措施。

📦 **RAR5处理缺陷恐致内存损坏**：CVE-2025-53816漏洞存在于7-Zip处理RAR5压缩格式文件的过程中。具体而言，在提取文件时，软件会根据攻击者可控的值来计算需要清零的内存字节数，由于_lzEnd变量的计算错误，可能导致在堆缓冲区之外写入零值，从而引发内存损坏，虽然不直接导致代码执行，但可能造成程序崩溃或不稳定，构成拒绝服务。

📄 **复合文档处理不当或致服务中断**：第二个漏洞CVE-2025-53817影响7-Zip对复合文档（Compound Document）格式文件的提取功能。攻击者可以通过精心构造恶意的复合文档文件，诱导7-Zip应用程序发生意外崩溃，干扰其正常的文件处理流程。在自动化处理大量文件的场景下，这种漏洞可能导致服务中断，影响业务连续性。

✅ **立即更新至最新版本是关键**：为了应对这两个安全风险，7-Zip的开发者已经发布了最新的25.0.0版本，并在此版本中成功修复了CVE-2025-53816和CVE-2025-53817这两个漏洞。因此，所有7-Zip用户都应尽快将软件更新至最新版本，以确保文件压缩和解压过程的安全性，避免潜在的系统不稳定或服务中断。

研究人员披露，全球广泛使用的开源文件压缩工具 7-Zip 存在两个新发现的漏洞。这两个漏洞编号为 CVE-2025-53816 和 CVE-2025-53817，影响 7-Zip 25.0.0 版本之前的所有版本。尽管目前认为它们不会导致远程代码执行，但可能引发内存损坏和拒绝服务（DoS）问题。

这两个漏洞的 CVSS v4 基础评分为 5.5，属于中等严重级别，但仍需引起用户的立即关注，尤其是那些处理不可信压缩文件的用户。

第一个漏洞（CVE-2025-53816）存在于 7-Zip 对 RAR5 压缩包的处理过程中。具体而言，该软件在提取文件时，会根据攻击者可控的值来计算需要清零的内存字节数，从而出现处理不当的问题。

CVE 描述中提到：“在 25.0.0 版本之前的 7-Zip 中，RAR5 处理器在堆缓冲区外写入零值，可能导致内存损坏和拒绝服务。”

这一问题源于涉及_lzEnd 变量的错误计算，该变量取决于压缩包中前一项的大小，且可能受到攻击者的影响。

安全公告解释道：“攻击者可能控制要覆盖的字节数…… 虽然不太可能导致任意代码执行，但可能因内存损坏引发拒绝服务。”

尽管目前尚无证据表明该漏洞可被用于执行代码，但堆空间内存损坏可能导致程序不稳定或崩溃。

第二个漏洞（CVE-2025-53817）影响 7-Zip 对复合文档（Compound Document）格式文件的提取功能。攻击者通过构造恶意复合文档文件，可能导致 7-Zip 应用程序意外崩溃，干扰正常工作流程，甚至可能在自动化文件处理环境中造成服务中断。

最新的 7-Zip 25.0.0 版本已修复这两个漏洞。建议用户立即更新，以确保安全处理压缩文件，尤其是来自不可信或未知来源的文件。

Fish AI Reader

FishAI

联系邮箱 441953276@qq.com

相关标签