7-Zip: Saldırganlar kötü amaçlı kod ekler

Popüler paketleme programı 7-Zip'te saldırganlar, kötü amaçlı kodun yükseltilmiş ayrıcalıklarla eklenmesine ve yürütülmesine izin veren bir güvenlik açığına saldırıyor. Güvenlik açığını giderecek güncellemeler bir süredir mevcuttur.

İngiltere Ulusal Sağlık Servisi (NHS), CVE-2025-11001 güvenlik açığına yönelik gözlemlenen saldırılar konusunda uyarıyor. “CVE-2025-11001'e karşı aktif saldırılar vahşi doğada gözlemlendi. Bir güvenlik araştırmacısı ayrıca CVE-2025-11001 için bir kavram kanıtlama (PoC) istismarı yayınladı. PoC, saldırganların, bazı senaryolarda rastgele kod yürütülmesine izin veren, amaçlanan unzip klasörünün dışındaki dosyalar yazmak için sembolik bağlantı işlemeyi kötüye kullanmasına izin veriyor.” Ancak NHS saldırılarla ilgili daha fazla bilgi vermiyor.

Güvenlik açığının daha ayrıntılı açıklaması

Trend Micro'nun Sıfır Gün Girişimi (ZDI) güvenlik açığına ilişkin orijinal açıklama son derece kısaydı. Ancak daha sonra yayınlanan CVE girişi daha fazla bilgi sağlıyor ve bu bilgiler artık ZDI'da da bulunabiliyor. Sonuç olarak, 7-Zip arşivleri işlerken hatalar yapabilir ve saldırganların “yol geçişini” kötüye kullanmasına, yani daha üst düzey dizinlere erişmek için “../” gibi talimatlarla dizinler arasında dolaşmasına olanak tanır. 7-Zip'te saat 22:00'den önce sembolik bağlantı işlemesi bozuldu. Bu, üzerinde oynanmış arşivlerin hizmet dosyalarının üzerine yazarak kod eklemesine ve ardından bunları haklarıyla çalıştırmasına olanak tanıdı. Kullanıcı etkileşimi gereklidir, bu arşivin paketinin açılması gerekir (CVE-2025-11001, CVSS 7.0“Risk”yüksek“).

Bu, geliştiricinin Temmuz ayında 7-Zip'in 25.00 sürümüyle düzelttiği bir güvenlik açığıdır. Ancak 7-Zip'in yerleşik bir güncelleme mekanizması bulunmadığından, kullanıcıların bunu tek başına yapması ve yazılımı güncellemesi gerekir. Güncel sürümü mutlaka 7-Zip indirme sayfasından indirip, daha önce kurulu olan sürümün yerine kullanmalısınız.

Ayrıca bakınız:

• 7-Zip: Haber'den hızlı ve güvenli indirme

(Bilmiyorum)