7-Zip ZIP 심볼릭링크 취약점 공개 25.01로 즉시 업데이트 권장

요약

새로 공개된 7-Zip 취약점(CVE-2025-11001, -11002)은 ZIP의 심볼릭 링크 처리 결함으로
디렉터리 트래버설 및 코드 실행 위험을 유발합니다. 7-Zip 25.01 이상으로 업데이트하고
미확인 압축파일 열람·해제 차단 정책을 적용하세요.

핵심 사실

1) 성격: ZIP 심볼릭링크 파싱 결함 → 경로 탈출 → 파일 덮어쓰기/실행 유도
2) 영향: 사용자 권한 수준의 코드 실행 가능, 사용자 상호작용 필요(열기/해제)
3) 상태: 25.00(7월)에서 선제 수정, 현재 안정판은 25.01(8월) — 자동업데이트 부재

즉시 조치 체크리스트

1) 배포: 25.01 패키지(설치형·MSI)로 일괄 업데이트, 포터블 구버전 폐기
2) 정책: 이메일/메신저 첨부 ZIP 격리, “출처 불명 아카이브” 실행 차단 안내
3) 탐지: 의심 ZIP 해제 후 시스템 폴더 변조·예기치 않은 실행파일 생성 모니터링
4) 대안: 중앙 패치관리 어려우면 Winget/Chocolatey 스크립트 도입 검토

운영 메모

1) WinRAR·압축 도구 병행 환경은 교차 점검, Mark-of-the-Web 우회 이슈 과거사고 참고
2) 공유 PC/PC방은 좌석 이미지 내 7-Zip 버전 고정 후 월 1회 갱신 루틴화

한줄평

“압축 해제 한 번으로 뚫린다”—업데이트·정책·모니터링 3종 세트가 답.

출처

Tom's Hardware: 7-Zip 신규 취약점 공개·업데이트 권고(10/11)
ZDI: CVE-2025-11001 권고(10/07)
7-Zip 공식: 25.01 다운로드/릴리스(08/03)·심볼릭 링크 처리 변경