La faille CVE-2025-55188 permet à des intrus d’écrire directement dans des répertoires sensibles lors de l’ouverture d’une archive piégée. Linux et Windows sont concernés, même si les conditions d’exploitation ne sont pas identiques.
Il y a quelques jours des articles tapaient sur winrar, et certains ventaient l open source, comme quoi tout à des failles
1 « J'aime »
Ce qui me questionne est : à moins de passer par un éditeur de logiciels malhonnête, qui ouvrirait ou du moins aurait l’occasion d’ouvrir un .zip piégé ?
1 « J'aime »
Rien de ce que tu décris là…
Open source ne veut pas dire sans failles ,bien au contraire , il y a / a eu des failles dans le noyau Linux. Open source permet à n’importe qui de savoir ce qu’il y a sous le capot et d’en faire ce qu’il veut
Il n’y a pas que Clubic.
Les .zip ne sont pas que pour les logiciels, tu as un paquet de situation ou tu as besoin de zip
Sur les deux articles que Bombing_Basta indique, je n’ai vu aucun commentaire comparant WinRar à 7Zip (je viens de regarder) ni comparant le modèle du logiciel propriétaire à celui open source.
D’ailleurs, prétendre que logiciel open source = pas de faille, c’est :
- Faux.
- Soit une erreur manifeste (cela arrive), soit carrément de la malhonnêteté.
C’est ton double compte ?
« What about ailleurs ? »
Ici c’est Clubic et on commente les news Clubic à moins de préciser le contraire explicitement.
J’ai un autre argument à te proposer pour la prochaine fois :
« Gneuuuuuuu »
Si y’a bien un commentaire de @Laurent_Marandet :
« 7zip est bien mieux et réellement gratuit dans sa licence. »
Mais rien qui dit que l’open-source est moins vulnérable aux attaques ça c’est une certitude.
J’ai vu, mais il ne mentionne même pas « open source ». 
Mais certes, il y en a un.
Certes, mais bon :
Il me semble quand même relativement osé de venir dire cela, je veux dire, les gens qui commentent sur Clubic ne sont pas responsables de ce qui peut bien se raconter ailleurs. ^^
« qui ouvrirait ou du moins aurait l’occasion d’ouvrir un .zip piégé ? »
Tout simplement dans un mail de phishing.
Sinon, n’importe quel site de piratage.
1 « J'aime »
A vrai dire, j’avoue que je ne fais pas attention tous les jours au fait que des nouvelles versions de 7-Zip sont publiées. Je ne le fais que périodiquement, je vais peut-être y prêter plus attention dans ce cas.
Des failles, tous les logiciels peuvent en avoir, open source ou pas. Ce qui compte surtout c’est la réactivité pour les corriger (d’ailleurs la version qui contient cette correction date du 3 août apparemment). Mais il est vrai que 7-zip pourrait proposer un système de vérification de mise à jour, cela n’est plus un luxe de nos jours où les ordinateurs sont connectés au net H24.
Ouvrir un zip via un email de phishing en 2025 c’est limite inacceptable. Le piratage n’est pas autorisé. Donc je suis pour le moment conforté dans ma vision des choses. Peu/pas de chance que ça aboutisse pour un utilisateur un tant soit peu averti en informatique.
1 « J'aime »
Un mail venant d’un domaine ultra similaire a celui de ta boite, avec des noms de collègues et un contenu crédible ?
Si dans ton taff vous avez l’habitude de vous envoyer des fichiers par mails c’est quelque chose de totalement plausible meme en étant un averti.
Ah, parce qu’une interdiction administrative est une barrière solide ? 
Dans la théorie, sauf que combien d’utilisateur sont réellement « avertis » ?
Que ce soit de simples particuliers ou des personnes qui bossent avec des outils informatiques ?
Et c’est sans compter le fait que même averti selon les circonstances (grandes fatigues, situation émotionnelle compliquée, etc … ), tout le monde peut un jour tomber dans le panneau.
1 « J'aime »
Ah ce moment, pas besoin de zip … un simple mail de phishing classique suffit.
Pour le piratage je suis ironique. En gros oui si tu vas chopper un nullsoft sur un site Russe tu as plus de chance d’avoir une surprise que si tu passes par un éditeur.
@blap ça fait beaucoup de si.
@Squeak tout à fait. Faire un check de version au lancement du soft ça ne mange vraiment pas de pain. Perso mes softs ouvrent un txt sur mon site qui a la forme 1456 pour v1.4.b46 et il compare avec son propre num de version…
Des « si » qui arrivent tous les jours.
Tu peux aussi meme mettre ca dans des fichiers légitimes et infecter un paquet de PC silencieusement.
Il ne faut jamais se sentir totalement à l’abri, même en étant un habitué. Si certains mails de phishing sont grossiers et mal faits (j’en ai reçu un ce matin avec un abonnement à renouveler à Norton alors que j’ai aucun produit chez eux mais en plus avec une adresse à rallonge comme « no-reply.norton.security.account.123456@gmail.com », d’autres sont vraiment ciblés et crédibles. Je disais déjà sur un autre sujet ici que cela représente une charge mentale parfois importante (rester sur ses gardes tout le temps, calculer chaque e-mail pour juger de la légitimité ou non) et qu’un clic trop vite, par fatigue, lassitude, ça pourrait vraiment arriver à n’importe qui.