Siber araştırmacılar, 7-Zip arşiv programında saldırganların kötü amaçlı kod eklemesine olanak tanıyan bir güvenlik açığı keşfettiler. Tek yapmanız gereken özenle hazırlanmış bir arşiv dosyasını açmak. Güvenlik açığını kapatacak bir güncelleme mevcut.
Duyurudan sonra devamını okuyun
GitHub güvenlik ekibi ilgili bir güvenlik açığı girişi yayınladı. 7-Zip 26.00'da saldırganlar yığın tabanlı arabellek taşmasına neden olabilir. Sıkıştırılmış NTFS akışları işlenirken çok küçük bir arabellek oluşturulabilir ve bu da uygulamanın çökmesine ve hatta rastgele kod yürütülmesine neden olabilir (CVE-2026-48095, CVSS) 8.8risk”yüksek“).
Boşluğun davranışı sistem mimarisinin kelime genişliğine bağlı olarak değişir. Ancak 32 bit yapılar etkilenir; 64 bit sistemlerde bu, sistemde gerçekte ne kadar RAM yüklü olduğuna bağlıdır. 16 GB ve daha fazlasına sahip sistemlerde bellek tahsisi doğru bir şekilde gerçekleşir, böylece kötü amaçlı kodlar sisteme bulaşabilir.
Daha az belleğe sahip sistemlerde bu durum başarısız olabilir ve hizmet reddi durumuna yol açabilir. Raporda ayrıca kavram kanıtı kodu da yer alıyor; bu, saldırganların yakında güvenlik açığını standart repertuarlarına ekleyebilecekleri anlamına geliyor.
SOC Prime ekibi, güvenlik açığıyla ilgili bir blog yazısı yayınladı. Saldırganların NTFS yöneticisini etkinleştirmek için değiştirilmiş arşivler için özel dosya uzantıları kullanması gerekmediğinden bu güvenlik açığı tehlikelidir. Sonlar ayrıca .7z, .zip, .rar veya benzeri gibi isteğe bağlı olabilir. Bundan sorumlu işleyiciler dosyadaki verileri işleyemezse, 7-Zip bir tür MIME büyüsü uygular ve dosyayı tanıyıp işlediği için NTFS işleyicisini girdiyle besler.
Güncellenmiş yazılım
Sorun 7-Zip 26.00'da mevcut. 27 Nisan 2026'da, diğer şeylerin yanı sıra bu güvenlik açığını kapatan 7-Zip 26.01 yayınlandı. 7-Zip otomatik güncelleme mekanizması içermediğinden kullanıcıların ve yöneticilerin manuel olarak güncelleme yapması gerekmektedir. Windows komut isteminde aramalısınız winget upgrade --all Güncellemeyi bulun ve yükleyin.
Duyurudan sonra devamını okuyun
Aksi takdirde 7-Zip'in güncel sürümünü proje indirme sayfasından da indirebilirsiniz. Sourceforge'daki başka bir indirme sayfası da Windows dışındaki çeşitli platformlar için güncellemeleri içerir; burada sürüm 26.00'e kıyasla diğer değişiklikleri de bulabilirsiniz.
Güncelleme hızlı bir şekilde gerçekleşmelidir. Geçen Kasım ayında saldırganlar, kurbanlarına kötü amaçlı kod bulaştırmak için 7-Zip'teki bir güvenlik açığından yararlandı.
Ayrıca bakınız:
- 7-Zip: Haber'den hızlı ve güvenli indirme
(Bilmiyorum)
Bir yanıt yazın