2025 nyarán két népszerű fájlarchiváló szoftver, a WinRAR és a 7-Zip is komoly biztonsági problémák miatt került reflektorfénybe. A feltárt sérülékenységek lehetővé teszik, hogy a támadók rosszindulatú archívumokkal tetszőleges fájlokat írjanak a célrendszerre, vagy akár kódot futtassanaka felhasználó tudta nélkül.
WinRAR: VE-2025-8088 és CVE-2025-6218
A WinRAR esetében két egymáshoz kapcsolódó, de különálló biztonsági hiba került nyilvánosságra:
CVE-2025-8088 (CWE-35) Útvonalbejárás és kódfuttatás
Ez a sebezhetőség egy útvonalbejárási hibára vezethető vissza, amely lehetővé teszi, hogy a támadó egy speciálisan készített RAR archívumon keresztül megkerülje a kicsomagolási célmappát. A fájlokat például a Windows Startup mappába lehet juttatni, így azok automatikusan lefutnak a következő bejelentkezéskor. A hibát az ESET szakértői fedezték fel, és a WinRAR 7.13 verziójában javították.
CVE-2025-6218 (CWE-22) Alternatív adatfolyamokat kihasználó könyvtárbejárás
A második sebezhetőség, a CVE-2025-6218, szintén könyvtárbejáráshoz kapcsolódik, ám egy kevésbé ismert Windows-funkciót, az alternatív adatfolyamokat (Alternate Data Streams – ADS) használja ki. A támadó egy speciálisan elkészített archívum segítségével olyan fájlokat tud létrehozni, amelyek neve relatív útvonalat tartalmaz az alternatív adatfolyamban. Kicsomagoláskor ezek az adatfolyamok bármilyen elérési útra kikerülhetnek, lehetővé téve tetszőleges fájlok létrehozását vagy módosítását.
Ez különösen veszélyes lehet, ha a célfájl például a Windows rendszerfájlok, felhasználói profilok vagy a Startup mappa valamelyik eleme. A sebezhetőséget a WinRAR 7.12 és korábbi verziói tartalmazzák, a javítás 2025 júniusában került kiadásra.
Az orosz BI.ZONE jelentése szerint a “Paper Werewolf” nevű hackercsoport mindkét sebezhetőséget kihasználta. Célzott adathalász támadásokban használták őket, ahol a felhasználó egy megtévesztő dokumentumot tartalmazó archívumot nyitott meg, miközben a háttérben a támadó kód tetszőleges helyre íródott és végrehajtódott.
7-Zip: CVE-2025-55188 (CWE-59) Szimbolikus linkek helytelen kezelése
A 7-Zip sérülékenysége, a CVE-2025-55188, főként Linux rendszereket érint. A probléma abból fakad, hogy a szoftver nem megfelelően validálja a szimbolikus linkeket bizonyos archívumformátumok kicsomagolása során. Ez lehetőséget ad arra, hogy a támadó tetszőleges fájlokat írjon a rendszerre a szimbolikus linkeken keresztül, ezzel lehetősége nyílik például SSH kulcsok cseréjére, vagy .bashrc fájlok módosítására, így szerezve tartós hozzáférést.
A sérülékenység hivatalos CVSS értékelése 2.7, ám a hibát felfedező biztonsági kutató szerint ez jelentősen alábecsüli a valós kockázatot. A javítást a 7-Zip 25.01-es verziója tartalmazza, amelynek telepítését haladéktalanul ajánlott elvégezni, különösen Linux rendszereken.
Védekezési javaslatok
- Frissítse a WinRAR-t 7.13-as, illetve a 7-Zip-et 25.01-es verzióra!
- Ne nyisson meg archívumot ismeretlen forrásból, különösen, ha gyanús mellékletként érkezett!
- Linux operációs rendszeren használjon alacsony jogosultságú fiókot az archívumok kibontására!
- Windows rendszeren tiltsa az alternatív adatfolyamok létrehozását, ha lehetséges!
- Vizsgálja meg a gyanús archívumokat végpontvédelmi rendszerrel, mielőtt kibontaná őket!
Ezek a támadások újfent bizonyítják, hogy az egyszerű fájlkezelő eszközök is lehetnek támadási felületek. A legfontosabb védekezési stratégia továbbra is a tudatos felhasználói magatartás és a naprakész szoftverhasználat.
