- ដោយ Admin
- Nov 20, 2025
កំពុងផ្ទុក...
កំពុងផ្ទុក...
កំហុសឆ្គងសុវត្ថិភាពដែលទើបនឹងបង្ហាញថ្មីៗនេះ ដែលប៉ះពាល់ដល់ 7-Zip ត្រូវបានវាយប្រហារយ៉ាងសកម្ម នេះបើយោងតាមការណែនាំដែលចេញដោយ NHS England Digital របស់ចក្រភពអង់គ្លេសកាលពីថ្ងៃអង្គារ។
ចំណុចខ្សោយដែលកំពុងត្រូវបានលើកឡើងគឺ CVE-2025-11001 (ពិន្ទុ CVSS: 7.0) ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារពីចម្ងាយប្រតិបត្តិកូដតាមអំពើចិត្ត។ វាត្រូវបានដោះស្រាយនៅក្នុង 7-Zip កំណែ 25.00 ដែលចេញផ្សាយក្នុងខែកក្កដា ឆ្នាំ 2025។
"ចំណុចខ្សោយជាក់លាក់មាននៅក្នុងការដោះស្រាយតំណភ្ជាប់និមិត្តសញ្ញានៅក្នុងឯកសារ ZIP។ ទិន្នន័យដែលបានបង្កើតនៅក្នុងឯកសារ ZIP អាចបណ្តាលឱ្យដំណើរការឆ្លងកាត់ទៅកាន់ថតដែលមិនបានគ្រោងទុក" Trend Micro's Zero Day Initiative (ZDI) បាននិយាយនៅក្នុងការជូនដំណឹងដែលចេញផ្សាយកាលពីខែមុន។ "អ្នកវាយប្រហារអាចទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះនេះដើម្បីប្រតិបត្តិកូដនៅក្នុងបរិបទនៃគណនីសេវាកម្ម"។
លោក Ryota Shiga មកពី GMO Flatt Security Inc. រួមជាមួយអ្នកត្រួតពិនិត្យ AppSec ដែលដំណើរការដោយបញ្ញាសិប្បនិម្មិត (AI) របស់ក្រុមហ៊ុន Takumi ត្រូវបានគេសរសើរថាបានរកឃើញ និងរាយការណ៍ពីភាពងាយរងគ្រោះនេះ។
គួរកត់សម្គាល់ថា 7-Zip 25.00 ក៏ដោះស្រាយកំហុសមួយទៀតគឺ CVE-2025-11002 (ពិន្ទុ CVSS: 7.0) ដែលអនុញ្ញាតឱ្យមានការប្រតិបត្តិកូដពីចម្ងាយដោយទាញយកអត្ថប្រយោជន៍ពីការគ្រប់គ្រងមិនត្រឹមត្រូវនៃតំណភ្ជាប់និមិត្តសញ្ញានៅក្នុងបណ្ណសារ ZIP ដែលបណ្តាលឱ្យមានការឆ្លងកាត់ថតឯកសារ។ ចំណុចខ្វះខាតទាំងពីរត្រូវបានណែនាំនៅក្នុងកំណែ 21.02។
NHS England Digital បាននិយាយថា "ការកេងប្រវ័ញ្ចសកម្មនៃ CVE-2025-11001 ត្រូវបានគេសង្កេតឃើញនៅក្នុងធម្មជាតិ"។ ទោះជាយ៉ាងណាក៏ដោយ បច្ចុប្បន្ននេះមិនមានព័ត៌មានលម្អិតអំពីរបៀបដែលវាកំពុងត្រូវបានប្រើប្រាស់ដោយអ្នកណា និងក្នុងបរិបទអ្វីនោះទេ។
ដោយសារមានការកេងប្រវ័ញ្ចភស្តុតាងនៃគំនិត (PoC) វាមានសារៈសំខាន់ណាស់ដែលអ្នកប្រើប្រាស់ 7-Zip ត្រូវធ្វើការផ្លាស់ប្តូរយ៉ាងឆាប់រហ័សដើម្បីអនុវត្តការជួសជុលចាំបាច់ឱ្យបានឆាប់តាមដែលអាចធ្វើទៅបាន ប្រសិនបើមិនទាន់មាននៅឡើយទេ សម្រាប់ការការពារដ៏ល្អប្រសើរ។
អ្នកស្រាវជ្រាវសន្តិសុខលោក Dominik (ហៅកាត់ថា pacbypass) ដែលបានចេញផ្សាយ PoC បាននិយាយនៅក្នុងសារមួយដែលរៀបរាប់លម្អិតអំពីចំណុចខ្វះខាតថា "ចំណុចខ្សោយនេះអាចត្រូវបានកេងប្រវ័ញ្ចតែពីបរិបទនៃគណនីអ្នកប្រើប្រាស់/សេវាកម្មកម្រិតខ្ពស់ ឬម៉ាស៊ីនដែលមានរបៀបអ្នកអភិវឌ្ឍន៍ត្រូវបានបើកដំណើរការ"។ "ចំណុចខ្សោយនេះអាចត្រូវបានកេងប្រវ័ញ្ចតែលើ Windows ប៉ុណ្ណោះ"។
