Le gestionnaire d’archives bien connu 7-Zip est touché par deux failles importantes, mais non critiques. Estampillées CVE-2025-11001 et CVE-2025-11002, elles sont de type « path traversal » et résident dans la manière dont l’application gère les liens symboliques de type Unix sur Windows lors de l’extraction d’un fichier Zip.

Les failles ne peuvent être exploitées que sous Windows et résident dans le module ArchiveExtractCallback.cpp. 7-Zip ne gère pas les liens symboliques de manière assez rigoureuse : si un lien pointe vers un chemin d’accès absolu (par exemple c:\users), le logiciel le considère comme un lien relatif. Les mécanismes de sécurité associés peuvent alors être ignorés, le lien symbolique pouvant dès lors se résoudre hors du répertoire d’extraction. Les failles sont donc exploitables avec des archives spécifiquement conçues et des prototypes d’exploitation existent déjà.

Découvertes par Ryota Shiga de GMO Flatt Security, elles ont été révélées par la Zero Day Initiative le 7 octobre. Elles ont toutes deux un score CVSS de 7 sur 10 et sont donc considérées comme importantes. Principale limite à l’exploitation automatisée, la nécessité de disposer de droits élevés, un mode développeur ou un contexte de service élevé, comme l’explique Cybersecurity News.

Les deux vulnérabilités sont exploitables dans toutes les versions de 7-Zip allant de la 21.02 à la 24.09. Seule solution, mettre à jour le logiciel pour la version 25.00 au moins, la gestion des liens y étant plus stricte. Cette version est sortie en juillet, mais 7-Zip ne possède aucun mécanisme de mise à jour automatique. À moins d’utiliser des outils tels que UniGetUI, il faut donc se rendre sur le site du gestionnaire d’archives pour y récupérer la dernière version, la 25.01 sortie le 3 aout.

Ce week-end, le Centre hospitalier intercommunal de Haute-Comté à Pontarlier a été victime d’une cyberattaque de type cryptolocker, « ayant conduit au chiffrement d’une partie de ses données informatiques », explique l’hôpital dans un communiqué obtenu par Ici Besançon.

Rapidement, les services informatiques ont été coupés et l’hôpital a prévenu l’Agence du Numérique en Santé (ANS), l’Agence Régionale de Santé Bourgogne-Franche-Comté, ainsi que l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Il a aussi déposé plainte.

Selon l’Est Républicain, les services de l’hôpital ont détecté des anomalies à 1h45 du matin dans la nuit du samedi 18 au dimanche 19 octobre, puis ils ont trouvé un message expliquant que les données de l’hôpital étaient chiffrées avec une demande de rançon.

Lors d’une conférence de presse dimanche soir et à laquelle a assisté l’Est Républicain, le directeur du centre hospitalier, Thierry Gamond Rius, a affirmé : « on peut considérer que la situation est sous contrôle. Difficile, mais sous contrôle et surtout transparente pour les patients ».

« On revient au fonctionnement papier pour les prescriptions des patients, pour les commandes, la gestion, etc. Ce dimanche matin, nous avons fait le tour des services, afin de voir si tout était bien mis en œuvre », a-t-il quand même ajouté. Mais aucun patient ne sera transféré ailleurs et le directeur prévoit de garder la même activité opératoire.

« Les serveurs sont compromis, il faut repartir sur une infrastructure vierge », explique-t-il encore, estimant en avoir pour plusieurs semaines.

Un numéro vert pour les patients du centre hospitalier a été mis en place : 0 805 090 125.

Le gestionnaire d’archives bien connu 7-Zip est touché par deux failles importantes, mais non critiques. Estampillées CVE-2025-11001 et CVE-2025-11002, elles sont de type « path traversal » et résident dans la manière dont l’application gère les liens symboliques de type Unix sur Windows lors de l’extraction d’un fichier Zip.

Les failles ne peuvent être exploitées que sous Windows et résident dans le module ArchiveExtractCallback.cpp. 7-Zip ne gère pas les liens symboliques de manière assez rigoureuse : si un lien pointe vers un chemin d’accès absolu (par exemple c:\users), le logiciel le considère comme un lien relatif. Les mécanismes de sécurité associés peuvent alors être ignorés, le lien symbolique pouvant dès lors se résoudre hors du répertoire d’extraction. Les failles sont donc exploitables avec des archives spécifiquement conçues et des prototypes d’exploitation existent déjà.

Découvertes par Ryota Shiga de GMO Flatt Security, elles ont été révélées par la Zero Day Initiative le 7 octobre. Elles ont toutes deux un score CVSS de 7 sur 10 et sont donc considérées comme importantes. Principale limite à l’exploitation automatisée, la nécessité de disposer de droits élevés, un mode développeur ou un contexte de service élevé, comme l’explique Cybersecurity News.

Les deux vulnérabilités sont exploitables dans toutes les versions de 7-Zip allant de la 21.02 à la 24.09. Seule solution, mettre à jour le logiciel pour la version 25.00 au moins, la gestion des liens y étant plus stricte. Cette version est sortie en juillet, mais 7-Zip ne possède aucun mécanisme de mise à jour automatique. À moins d’utiliser des outils tels que UniGetUI, il faut donc se rendre sur le site du gestionnaire d’archives pour y récupérer la dernière version, la 25.01 sortie le 3 aout.

Ce week-end, le Centre hospitalier intercommunal de Haute-Comté à Pontarlier a été victime d’une cyberattaque de type cryptolocker, « ayant conduit au chiffrement d’une partie de ses données informatiques », explique l’hôpital dans un communiqué obtenu par Ici Besançon.

Rapidement, les services informatiques ont été coupés et l’hôpital a prévenu l’Agence du Numérique en Santé (ANS), l’Agence Régionale de Santé Bourgogne-Franche-Comté, ainsi que l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Il a aussi déposé plainte.

Selon l’Est Républicain, les services de l’hôpital ont détecté des anomalies à 1h45 du matin dans la nuit du samedi 18 au dimanche 19 octobre, puis ils ont trouvé un message expliquant que les données de l’hôpital étaient chiffrées avec une demande de rançon.

Lors d’une conférence de presse dimanche soir et à laquelle a assisté l’Est Républicain, le directeur du centre hospitalier, Thierry Gamond Rius, a affirmé : « on peut considérer que la situation est sous contrôle. Difficile, mais sous contrôle et surtout transparente pour les patients ».

« On revient au fonctionnement papier pour les prescriptions des patients, pour les commandes, la gestion, etc. Ce dimanche matin, nous avons fait le tour des services, afin de voir si tout était bien mis en œuvre », a-t-il quand même ajouté. Mais aucun patient ne sera transféré ailleurs et le directeur prévoit de garder la même activité opératoire.

« Les serveurs sont compromis, il faut repartir sur une infrastructure vierge », explique-t-il encore, estimant en avoir pour plusieurs semaines.

Un numéro vert pour les patients du centre hospitalier a été mis en place : 0 805 090 125.

• IMMERSION EXTRÊME - Les écrans incurvés MSI offrent une expérience gaming plus immersive avec une courbure 1500R à la distance de visualisation optimale...

• Affi...

• Distribution gratuite d’ifs du jardin du Cloître
• Dans le cadre de la réhabilitation du jardin du Cloître, place à un tout no...