Cảnh báo lỗ hổng bảo mật tồn tại trong WinRAR, 7-Zip và Google Chrome

1. Lỗ hổng bảo mật tồn tại trong Winrar

Các phiên bản WinRAR từ 7.12 trở về trước có tồn tại lỗ hổng path traversal nghiêm trọng (phiên bản Windows, bao gồm UnRAR.dll). Lỗ hổng này có mã định danh là CVE-2025-8088, cho phép kẻ tấn công tạo file RAR độc hại để khi người dùng giải nén, các file có thể được ghi vào thư mục nhạy cảm (ví dụ thư mục Startup) thay vì nơi dự kiến, từ đó thực thi mã độc.

Lỗ hổng có mức độ nghiêm trọng cao (CVSS 8.4) và đã bị khai thác thực tế bởi nhóm tấn công RomCom thông qua email phishing để phát tán malware.

- Khuyến nghị:

Cập nhật ngay lên WinRAR 7.13 hoặc bản mới nhất.

2. Lỗ hổng bảo mật tồn tại trong 7-Zip

Phần mềm 7-Zip (trước phiên bản 25.01) có tồn tại lỗ hổng CVE-2025-55188 liên quan tới cách xử lý symbolic links khi giải nén file. Nếu file nén (zip, tar, 7z, rar…) chứa symbolic links trỏ ra ngoài thư mục giải nén, 7-Zip có thể theo liên kết đó và ghi đè các file nằm ngoài đường dẫn dự kiến, dẫn tới ghi file bất hợp pháp trên hệ thống.

- Khuyến nghị:

Cập nhật 7-Zip lên phiên bản 25.01 hoặc mới nhất.

3. Google Chrome phát hành bản cập nhật

Google Chrome vừa phát hành bản cập nhật Stable Channel for Desktop dành cho Windows, Mac và Linux. Bản cập nhật này đã vá tổng cộng 2 lỗ hổng CVE-2025-10200 và CVE-2025-10201, các lỗ hổng này sẽ cho phép kẻ tấn công thực thi mã từ xa hoặc khai thác để vượt qua cơ chế bảo mật.

- Khuyến nghị:

Cập nhật Chrome lên phiên bản 140.0.7339.127 (cho Linux), 140.0.7339.127/.128 (cho Windows và 140.0.7339.132/.133 (cho Mac).

Để bảo vệ và tránh các rủi ro, Bizfly Cloud khuyến nghị người dùng nên:

- Cập nhật lên phiên bản mới nhất của các phần mềm Winrar, 7-Zip, Google Chrome.

- Đồng thời kiểm tra kĩ các file trước khi tải xuống máy.

Link thông tin chi tiết về các lỗ hổng: