IT之家 10 月 11 日消息，开源压缩软件 7-Zip 被发现存在两项高危安全漏洞，攻击者可能利用该漏洞远程执行任意代码。研究人员建议所有用户立即更新至最新版本 25.00，以避免潜在风险。 根据通报资料，这两项漏洞编号为 CVE-2025-11001 和 CVE-2025-11002，影响所有旧版 7-Zip 软件。 漏洞的核心问题出现在程序对 ZIP 文件中符号链接（symbolic link）的处理方式。攻击者可通过构造恶意 ZIP 压缩包，诱使受害者在存在漏洞的版本中解压该文件，从而触发目录遍历（directory traversal）漏洞。 一旦攻击成功，系统在解压时可能会将文件写入预期目录之外的位置，甚至是敏感系统路径，从而植入恶意代码或程序。虽然攻击需要用户主动打开该压缩文件，但只要受害者执行了解压操作，攻击代码即可在目标计算机上以当前用户或服务账户权限运行。 报告显示，这两项漏洞在 CVSS 3.0 评分中均被评为 7.0（高危级别）。成功利用后，攻击者可在受影响系统上执行任意代码，进而可能造成系统被完全控制、数据被窃取，或为勒索软件等进一步攻击提供通道。 尽管漏洞利用的复杂度较高且需用户交互，因此未被评为“严重级别（Critical）”，但考虑到 7-Zip 的广泛使用范围，其对系统保密性、完整性与可用性的潜在威胁仍不容忽视。 IT之家提醒，7-Zip 官方团队已于 2025 年 10 月 7 日发布新版 25.00 并修复了以上安全问题。漏洞最初由 GMO Flatt Security Inc. 的安全研究员 Ryota Shiga 报告，并与 takumi-san.ai团队协作完成披露。 根据披露流程，研究人员于 2025 年 5 月 2 日向厂商通报漏洞，随后在补丁发布后联合发布了安全公告。目前，安全机构建议所有用户立即更新至 7-Zip 25.00 版本，以防止系统遭受潜在的远程攻击。返回搜狐，查看更多

北京市:市辖区:(东城区、西城区、朝阳区、丰台区、石景山区、海淀区、门头沟区、房山区、通州区、顺义区、昌平区、大兴区、怀柔区、平谷区、密云区、延庆区)

天津市:市辖区:(和平区、河东区、河西区、南开区、河北区、红桥区、东丽区、西青区、津南区、北辰区、武清区、宝坻区、滨海新区、宁河区、静海区、蓟州区)

河北省:石家庄市:(长安区、桥西区、新华区、井陉矿区、裕华区、藁城区、鹿泉区、栾城区、井陉县、正定县、行唐县、灵寿县、高邑县、深泽县、赞皇县、无极县、平山县、元氏县、赵县、石家庄高新技术产业开发区、石家庄循环化工园区、辛集市、晋州市、新乐市)

唐山市:(路南区、路北区、古冶区、开平区、丰南区、丰润区、曹妃甸区、滦南县、乐亭县、迁西县、玉田县、河北唐山芦台经济开发区、唐山市汉沽管理区、唐山高新技术产业开发区、河北唐山海港经济开发区、遵化市、迁安市、滦州市)

秦皇岛市:(海港区、山海关区、北戴河区、抚宁区、青龙满族自治县、昌黎县、卢龙县、秦皇岛市经济技术开发区、北戴河新区)

邯郸市:(邯山区、丛台区、复兴区、峰峰矿区、肥乡区、永年区、临漳县、成安县、大名县、涉县、磁县、邱县、鸡泽县、广平县、馆陶县、魏县、曲周县、邯郸经济技术开发区、邯郸冀南新区、武安市)

邢台市:(襄都区、信都区、任泽区、南和区、临城县、内丘县、柏乡县、隆尧县、宁晋县、巨鹿县、新河县、广宗县、平乡县、威县、清河县、临西县、河北邢台经济开发区、南宫市、沙河市)

保定市:(竞秀区、莲池区、满城区、清苑区、徐水区、涞水县、阜平县、定兴县、唐县、高阳县、容城县、涞源县、望都县、安新县、易县、曲阳县、蠡县、顺平县、博野县、雄县、保定高新技术产业开发区、保定白沟新城、涿州市、定州市、安国市、高碑店市)

张家口市:(桥东区、桥西区、宣化区、下花园区、万全区、崇礼区、张北县、康保县、沽源县、尚义县、蔚县、阳原县、怀安县、怀来县、涿鹿县、赤城县、张家口经济开发区、张家口市察北管理区、张家口市塞北管理区)

承德市:(双桥区、双滦区、鹰手营子矿区、承德县、兴隆县、滦平县、隆化县、丰宁满族自治县、宽城满族自治县、围场满族蒙古族自治县、承德高新技术产业开发区、平泉市)

沧州市:(新华区、运河区、沧县、青县、东光县、海兴县、盐山县、肃宁县、南皮县、吴桥县、献县、孟村回族自治县、河北沧州经济开发区、沧州高新技术产业开发区、沧州渤海新区、泊头市、任丘市、黄骅市、河间市)

近日，《Nature》杂志的最新一期封面论文引起了广泛关注，🙄研究主题是 DeepSeek-R1。这项研究由梁文锋教授团队👏主导，内容围绕如何通过强化学习来提升大型语言模型（LLM）的😂推理能力。早在今年1月，该研究已在 arXiv 上发布，受到😀学术界的高度评价。 在封面介绍中，《Nature》指出🙄，如果大型模型能够规划解决问题的步骤，往往会得到更好的解决方🤔案。这种推理能力与人类处理复杂问题的方式相似，但在人工智能领👍域实现这一点面临着巨大的挑战。研究团队展示了如何在极少人工干👍预的情况下训练出具备推理能力的模型。 DeepSeek⭐-R1模型的训练采用强化学习策略，模型在正确解答数学问题时会🌟获得高分奖励，而答错则会受到惩罚。通过这样的机制，DeepS🤔eek-R1学会了逐步推理、解决问题，并在给出答案前进行自我⭐验证，从而提高了其在编程和科学研究中的表现。 值得一提🚀的是，DeepSeek-R1被认为是首个经过权威学术期刊同行😴评审的语言模型，这一成就标志着 AI 领域的一个重要里程碑。😀Hugging Face 的工程师 Lewis Tunsta🤗ll 对此表示，这是一个重要的先例，强调了行业规范的重要性，🚀尤其是在评估 AI 系统潜在风险时。 此外，研究团队在👍论文中对模型的训练数据类型和安全性进行了详细说明，避免了对模😎型的拟人化描述，确保研究的严谨性和透明度。这一开放模式得到了😀同行的广泛赞誉，认为有助于提升公众对 AI 的信任。 👏划重点:返回搜狐，查看更多