یک آسیبپذیری امنیتی بحرانی (CVE 8.8) در ابزار محبوب 7-Zip کشف شده است. این نقص به مهاجمان اجازه میدهد با باز کردن یک آرشیو دستکاری شده (مانند .7z، .zip) در سیستمی با حداقل 16 گیگابایت رم، کد مخرب را اجرا کنند؛ نیازی به استخراج فایل نیست. گستردگی 7-Zip در ویندوز، لینوکس، سرورها و نرمافزارهای شخص ثالث، صدها میلیون دستگاه را در معرض خطر قرار میدهد. بهروزرسانی فوری به نسخه 26.01 یا جدیدتر اکیداً توصیه میشود.
این آسیبپذیری مربوط به باگی در مدیریت تصاویر دیسک NTFS توسط 7-Zip است که امکان سرریز بافر و اجرای کد مخرب را فراهم میکند. 7-Zip نوع فایل را بر اساس محتوا تشخیص میدهد، نه پسوند، بنابراین میتوان یک تصویر NTFS مخرب را در داخل آرشیوهای رایج پنهان کرد. این وضعیت برای سرورها و ابزارهای اتوماسیون که با مجوزهای بالا کار میکنند، بسیار خطرناک است و میتواند منجر به حملات گسترده “درایو-بای” شود.
دو آسیبپذیری جدی (CVE-2025-11001 و CVE-2025-11002) در 7-Zip افشا شدهاند که به مهاجمان اجازه میدهند با فریب کاربران برای باز کردن آرشیوهای ZIP مخرب، کدهای دلخواه را از راه دور اجرا کنند. این نقصها، که توسط ZDI ترند میکرو گزارش شدهاند، از نحوه پردازش لینکهای نمادین توسط 7-Zip ناشی میشوند و میتوانند منجر به نوشتن فایلها در مکانهای حساس سیستم و در نهایت به خطر افتادن کامل محیط ویندوز شوند. با وجود اینکه این مشکلات در نسخه 25.00 که در ماه جولای منتشر شد، رفع شده بودند، اما افشای عمومی جزئیات امنیتی تا همین اواخر صورت نگرفت و بسیاری از کاربران را برای ماهها در معرض خطر قرار داد.
فقدان مکانیزم بهروزرسانی خودکار در 7-Zip، این مشکل را تشدید میکند، زیرا کاربران باید به صورت دستی به نسخه 25.01 یا جدیدتر بهروزرسانی کنند. بسیاری از کاربران به نسخههای قدیمیتر تکیه دارند. برای حفظ امنیت، به کاربران توصیه میشود فوراً جدیدترین نسخه 7-Zip را از سایت رسمی پروژه دانلود کرده و تا زمان بهروزرسانی، از استخراج آرشیوها از منابع نامعتبر خودداری کنند.
