یک آسیبپذیری امنیتی بحرانی (CVE 8.8) در ابزار محبوب 7-Zip کشف شده است. این نقص به مهاجمان اجازه میدهد با باز کردن یک آرشیو دستکاری شده (مانند .7z، .zip) در سیستمی با حداقل 16 گیگابایت رم، کد مخرب را اجرا کنند؛ نیازی به استخراج فایل نیست. گستردگی 7-Zip در ویندوز، لینوکس، سرورها و نرمافزارهای شخص ثالث، صدها میلیون دستگاه را در معرض خطر قرار میدهد. بهروزرسانی فوری به نسخه 26.01 یا جدیدتر اکیداً توصیه میشود.
این آسیبپذیری مربوط به باگی در مدیریت تصاویر دیسک NTFS توسط 7-Zip است که امکان سرریز بافر و اجرای کد مخرب را فراهم میکند. 7-Zip نوع فایل را بر اساس محتوا تشخیص میدهد، نه پسوند، بنابراین میتوان یک تصویر NTFS مخرب را در داخل آرشیوهای رایج پنهان کرد. این وضعیت برای سرورها و ابزارهای اتوماسیون که با مجوزهای بالا کار میکنند، بسیار خطرناک است و میتواند منجر به حملات گسترده “درایو-بای” شود.
یک محقق امنیتی به نام پاول کشف کرده است که بهروزرسان خودکار درایورهای ویندوز AMD نرمافزار را به صورت ناامن از طریق HTTP دانلود میکند. این امر آن را در برابر حملات مرد میانی آسیبپذیر ساخته و به مهاجمان اجازه میدهد بدافزار یا باجافزار را با دسترسیهای مدیر سیستم تزریق کنند. پاول این باگ را به AMD گزارش داد، اما شرکت ظاهراً آن را «خارج از محدوده» دانسته و به این معنی که هیچ اصلاحی ارائه نخواهد شد. این آسیبپذیری میتواند میلیونها کاربر AMD را در سراسر جهان تحت تأثیر قرار دهد.
این مشکل با این واقعیت تشدید میشود که بهروزرسان خودکار ممکن است نزدیک به یک دهه بهروزرسانیهای ناامن را ارائه کرده باشد. در حالی که لیست بهروزرسانیها به صورت امن از طریق HTTPS دریافت میشود، بستههای درایور واقعی با استفاده از لینکهای HTTP ناامن دانلود میشوند که فاقد تأیید هویت سرور و یکپارچگی دادهها هستند. این وضعیت یک سهلانگاری امنیتی قابل توجه توسط AMD است و امید میرود شرکت این نقص حیاتی را برطرف کرده و محقق را پاداش دهد.
دو آسیبپذیری جدی (CVE-2025-11001 و CVE-2025-11002) در 7-Zip افشا شدهاند که به مهاجمان اجازه میدهند با فریب کاربران برای باز کردن آرشیوهای ZIP مخرب، کدهای دلخواه را از راه دور اجرا کنند. این نقصها، که توسط ZDI ترند میکرو گزارش شدهاند، از نحوه پردازش لینکهای نمادین توسط 7-Zip ناشی میشوند و میتوانند منجر به نوشتن فایلها در مکانهای حساس سیستم و در نهایت به خطر افتادن کامل محیط ویندوز شوند. با وجود اینکه این مشکلات در نسخه 25.00 که در ماه جولای منتشر شد، رفع شده بودند، اما افشای عمومی جزئیات امنیتی تا همین اواخر صورت نگرفت و بسیاری از کاربران را برای ماهها در معرض خطر قرار داد.
فقدان مکانیزم بهروزرسانی خودکار در 7-Zip، این مشکل را تشدید میکند، زیرا کاربران باید به صورت دستی به نسخه 25.01 یا جدیدتر بهروزرسانی کنند. بسیاری از کاربران به نسخههای قدیمیتر تکیه دارند. برای حفظ امنیت، به کاربران توصیه میشود فوراً جدیدترین نسخه 7-Zip را از سایت رسمی پروژه دانلود کرده و تا زمان بهروزرسانی، از استخراج آرشیوها از منابع نامعتبر خودداری کنند.
