دو آسیبپذیری جدید و خطرناک در نرمافزار محبوب فشردهسازی 7-Zip کشف شده که به مهاجمان اجازه میدهد با فریب کاربر برای باز کردن یک فایل ZIP مخرب، کد دلخواه خود را روی سیستم اجرا کنند.
به تازگی دو آسیبپذیری جدید و با شدت بالا در نرمافزار محبوب و متنباز 7-Zip کشف شده است که به مهاجمان اجازه میدهد با فریب کاربران برای باز کردن یک فایل ZIP آلوده، کد دلخواه خود را اجرا کنند. این حفرههای امنیتی که در تاریخ ۱۵ مهرماه (۷ اکتبر) توسط تیم امنیتی Zero Day Initiative (ZDI) گزارش شدند، نسخههای متعدد این ابزار را تحت تأثیر قرار داده و در ماههای گذشته بدون اطلاعرسانی عمومی برطرف شده بودند.
این حفرههای امنیتی که با شناسههای CVE-2025-11001 و CVE-2025-11002 ثبت شدهاند، از نحوه پردازش Symbolic Link در فایلهای ZIP نشأت میگیرند. به زبان ساده، یک فایل فشرده مخرب میتواند از پوشه استخراج تعیین شده فرار کرده و فایلهای خود را در مکانهای دیگری از سیستمعامل بنویسد. این ضعف میتواند به اجرای کامل کد با همان سطح دسترسی کاربر منجر شود که برای به خطر انداختن یک سیستم ویندوزی کافی است. هر دو آسیبپذیری امتیاز CVSS معادل ۷.۰ را دریافت کردهاند.
بر اساس گزارش ZDI، بهرهبرداری از این آسیبپذیریها به تعامل کاربر نیاز دارد، اما این مانع چندان بزرگی نیست؛ صرفاً باز کردن یا استخراج یک آرشیو مخرب کافی است. پس از آن، حفره امنیتی به مهاجم اجازه میدهد تا فایلهای مخرب خود را در مسیرهای حساس سیستم قرار دهد یا فایلهای موجود را بازنویسی کرده و جریان اجرای برنامهها را به نفع خود تغییر دهد. ZDI هر دو باگ را در دسته «پیمایش مسیر منجر به اجرای کد از راه دور» طبقهبندی کرده است.
در همین رابطه بخوانید:
- آیا CPU هم هک میشود؟ مروری بر آسیبپذیریهای امنیتی پردازنده مرکزی
- هشدار امنیتی: همین حالا WinRAR را آپدیت کنید، باگ جدید دوباره دردسرساز شد
چرا بهروزرسانی فوری ضروری است؟
ایگور پاولوف، توسعهدهنده 7-Zip، در تیرماه گذشته نسخه ۲۵.۰۰ را منتشر کرد که در آن این آسیبپذیریها به همراه چند مشکل کوچکتر در مدیریت آرشیوهای RAR و COM برطرف شده بودند. با این حال، جزئیات امنیتی این حفرهها تا همین هفته و با انتشار گزارش ZDI عمومی نشده بود. این بدان معناست که کاربرانی که از ابتدای تابستان نرمافزار خود را بهروز نکردهاند، ماهها بدون اطلاع در معرض خطر بودهاند.
یکی از مشکلات امنیتی 7-Zip آن است که برزورسانی خودکار ندارد و کاربران باید بهصورت دستی این نرمافزار را آپدیت کنند. همچنین بسیاری نیز از نسخههای قدیمیتر یا Portable استفاده میکنند.
برای محافظت از سیستم خود، نسخه ۲۵.۰۱ یا جدیدتر 7-Zip را مستقیماً از وبسایت رسمی پروژه دانلود و نصب کنید.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت