Prima di procedere
Ricercatori della sicurezza informatica hanno identificato due vulnerabilità critiche nel popolare software di compressione dati 7-Zip. Queste falle di sicurezza permettono a malintenzionati di eseguire codice arbitrario sui computer delle vittime semplicemente aprendo o estraendo il contenuto di archivi ZIP appositamente creati.
La scoperta è stata resa nota il 7 ottobre dalla società giapponese Trend Micro, specializzata in sicurezza informatica, nell'ambito della Zero Day Initiative (ZDI). Le vulnerabilità sono state registrate con gli identificativi CVE-2025-11001 e CVE-2025-11002 e sono legate al modo in cui 7-Zip gestisce i collegamenti simbolici all'interno dei file ZIP. Un attaccante potrebbe creare un archivio capace di superare la directory di destinazione dell'estrazione e scrivere file in percorsi di sistema arbitrari.
Sfruttando in combinazione queste vulnerabilità, è possibile ottenere l'esecuzione di codice con i privilegi dell'utente corrente, il che è sufficiente per compromettere un ambiente Windows. Entrambe le vulnerabilità hanno un punteggio di base CVSS pari a 7.0.
Secondo il bollettino ZDI, per sfruttare la vulnerabilità è richiesta un'interazione minima da parte dell'utente: è sufficiente aprire o estrarre l'archivio dannoso. A quel punto, la vulnerabilità di attraversamento della directory tramite collegamenti simbolici può sovrascrivere file o posizionare payload in percorsi sensibili, permettendo a un hacker di intercettare il flusso di esecuzione. ZDI classifica entrambi gli errori come vulnerabilità di attraversamento della directory che portano all'esecuzione di codice remoto nel contesto dell'account di servizio.
Lo sviluppatore russo di 7-Zip, Igor Pavlov, ha rilasciato la versione 25.00 il 5 luglio, nella quale queste vulnerabilità sono state corrette. La versione stabile 25.01 è stata rilasciata in agosto. Tuttavia, la divulgazione pubblica dei dettagli tecnici è avvenuta solo questa settimana, quando ZDI ha pubblicato le relative notifiche. Ciò significa che gli utenti che non hanno aggiornato il programma dall'inizio dell'estate sono rimasti vulnerabili per diversi mesi, senza saperlo. Inoltre, a causa della mancanza di un meccanismo di aggiornamento automatico, molti continuano a utilizzare vecchie versioni del programma.
All'inizio di quest'anno, la vulnerabilità CVE-2025-0411 aveva attirato l'attenzione degli esperti perché permetteva di bypassare la protezione Windows Mark-of-the-Web (MOTW) incorporando archivi ZIP dannosi uno dentro l'altro, rimuovendo efficacemente l'etichetta "scaricato da internet" dai file. Questo problema è stato risolto nella versione 24.09.
Per garantire la protezione, si raccomanda di scaricare 7-Zip versione 25.01 o successive direttamente dal sito ufficiale del progetto. L'installer aggiornerà la configurazione esistente senza modificare le impostazioni dell'utente. Prima dell'aggiornamento, è consigliabile evitare di estrarre archivi provenienti da fonti non affidabili. È fondamentale agire tempestivamente per proteggere i propri sistemi da potenziali attacchi informatici sfruttando queste vulnerabilità.
