Popüler 7-Zip arşivleyicisi, milyonlarca kullanıcı tarafından sıkıştırılmış dosyaları yönetmek için kullanılmaktadır ve iki ciddi güvenlik açığına karşı savunmasız olduğu tespit edilmiştir. CVE-2025-11001 ve CVE-2025-11002 olarak izlenen bu güvenlik açıkları, saldırganların kurbanın bilgisayarında rastgele kod çalıştırmasına olanak tanımaktadır; bu, yalnızca özel olarak hazırlanmış bir ZIP arşivini açmalarını sağlamalarıyla mümkündür.
Kodlama hataları, programın arşivlerdeki bağlantıları nasıl işlediği ile ilgilidir. Kasıtlı olarak açılması gereken klasörle sınırlı kalmak yerine, kötü niyetli unsurlar kaçabilir ve diğer sistem dizinlerine dosyalar yazabilir, bu da yetkisiz komutların çalıştırılmasına zemin hazırlar. Başarılı bir saldırının yönetici hakları gerektirmediği önemli bir detaydır; ancak, arşivleyici yönetici ayrıcalıklarıyla çalıştırılırsa, sonuçlar felaket olabilir—sistemin tamamen ele geçirilmesine yol açabilir.
7-Zip geliştiricisi, bu güvenlik açıklarını Temmuz ayında 25.00 sürümünün yayımlanmasıyla ele aldı. Ancak, güvenlik açıklarının detayları ancak şimdi kamuya açıklanmıştır. Bu, yazılımı erken yazdan beri güncellemeyen herkesin birkaç aydır korunmasız olduğu ve riskin farkında olmadığı anlamına gelmektedir. 7-Zip'in otomatik güncelleme özelliğinin olmaması, birçok kullanıcının yıllarca eski sürümleri çalıştırmasına neden olan büyük bir karmaşıklık faktörüdür.
Uzmanlar, arşivleyicinizin mevcut sürümünü kontrol etmenizi şiddetle önermektedir. En son sürüm 25.01'dir ve yeni sürümün eski sürümün üzerine yüklenmesi, tüm kullanıcı ayarlarını korur. Güncelleme yapana kadar, özellikle e-posta ile alınan veya şüpheli web sitelerinden indirilen arşivlerle işlem yaparken son derece dikkatli olmanız önerilir.
Bu haber, 7-Zip'in ana rakibi WinRAR için büyük bir güncellemeden kısa bir süre sonra gelmektedir. Yeni sürüm, yalnızca performansa ve yenilenmiş bir arayüze odaklanmakla kalmayıp, aynı zamanda dosya işleme için geliştirilmiş güvenliğe de odaklanmaktadır.