7-ZIP Mark-of-the-Web绕过漏洞CVE-2025-0411

7-ZIP是一款由俄罗斯程序员Igor Pavlov开发的开源压缩软件，具有强大的压缩能力和广泛的格式支持，软件最大的亮点是采用了7Z格式。

7-ZIP几乎可以在所有主流操作系统上运行，包括Windows, Linux和Mac OS，从而满足了不同用户的需求，提供加密、分卷压缩等功能。

一、基本情况

7-Zip作为完全免费而且开源的压缩软件，其7Z格式提供了比传统ZIP格式更高的压缩率和效率，同时兼容ZIP、RAR、TAR、GZIP等格式。

7Z格式是7-ZIP采用的压缩文件格式，压缩原理是基于LZMA（Lempel-Ziv-Markov chain algorithm）算法，这是一种基于字典的压缩技术。

栋科技漏洞库关注到7-ZIP允许远程攻击者绕过在受影响系统中Mark-of-the-Web保护机制漏洞，追踪为CVE-2025-0411，CVSS评分7.0。

二、漏洞分析

Zero Day Initiative近期发布关于CVE-2025-0411漏洞的公告，漏洞允许远程攻击者绕过7-Zip在受影响系统中的Mark-of-the-Web保护机制。

Mark-of-the-Web（MOTW，网络标记）是微软Windows操作系统中的一项安全特性，其用于标记从互联网或其他不可信来源下载的文件。

MOTW是Windows Internet Explorer通过强制使IE浏览器浏览存储下来的网页在安全的位置的一种安全机制，该功能目的旨在增强安全性。

MOTW 是一个注释作为标签添加到HTML网页的，当用户打开存储在本地的HTML文档时，IE浏览器通过读这个注释判断是否在安全区域。

Microsoft Defender SmartScreen会对MOTW标记文件添加额外安全提醒，因此可帮助系统和程序识别文件来源，防止恶意文件直接执行。

在受影响版本中，7-Zip从带有 Mark-of-the-Web 标记的恶意压缩包中提取文件的时候，7-Zip未将 Mark-of-the-Web带入到提取的文件中。

具体而言，7-Zip受影响版本在归档文件处理过程中，从带有Mark-of-the-Web标记恶意归档中提取文件时未将该标记正确传播到提取文件。

如此便导致标记丢失的情况，在文件打开时缺少系统安全提示， 攻击者可能利用该特性绕过windows安全机制诱导用户打开钓鱼恶意软件。

需要说明的是，利用该漏洞需要用户交互，即目标必须访问恶意网页或打开恶意文件，尽管如此，还是建议受影响用户尽快升级软件版本。

三、影响范围

7-Zip < 24.09

四、修复建议

7-Zip >= 24.09

五、参考链接

此处内容已隐藏，评论后刷新即可查看！