آسیب‌پذیری خطرناک 7Zip؛ با یک فایل ZIP ساده کامپیوترتان را هک می‌کنند!

دو آسیب‌پذیری جدید و خطرناک در نرم‌افزار محبوب فشرده‌سازی 7-Zip کشف شده که به مهاجمان اجازه می‌دهد با فریب کاربر برای باز کردن یک فایل ZIP مخرب، کد دلخواه خود را روی سیستم اجرا کنند.

به تازگی دو آسیب‌پذیری جدید و با شدت بالا در نرم‌افزار محبوب و متن‌باز 7-Zip کشف شده است که به مهاجمان اجازه می‌دهد با فریب کاربران برای باز کردن یک فایل ZIP آلوده، کد دلخواه خود را اجرا کنند. این حفره‌های امنیتی که در تاریخ ۱۵ مهرماه (۷ اکتبر) توسط تیم امنیتی Zero Day Initiative (ZDI) گزارش شدند، نسخه‌های متعدد این ابزار را تحت تأثیر قرار داده و در ماه‌های گذشته بدون اطلاع‌رسانی عمومی برطرف شده بودند.

این حفره‌های امنیتی که با شناسه‌های CVE-2025-11001 و CVE-2025-11002 ثبت شده‌اند، از نحوه پردازش Symbolic Link در فایل‌های ZIP نشأت می‌گیرند. به زبان ساده، یک فایل فشرده مخرب می‌تواند از پوشه استخراج تعیین شده فرار کرده و فایل‌های خود را در مکان‌های دیگری از سیستم‌عامل بنویسد. این ضعف می‌تواند به اجرای کامل کد با همان سطح دسترسی کاربر منجر شود که برای به خطر انداختن یک سیستم ویندوزی کافی است. هر دو آسیب‌پذیری امتیاز CVSS معادل ۷.۰ را دریافت کرده‌اند.

بر اساس گزارش ZDI، بهره‌برداری از این آسیب‌پذیری‌ها به تعامل کاربر نیاز دارد، اما این مانع چندان بزرگی نیست؛ صرفاً باز کردن یا استخراج یک آرشیو مخرب کافی است. پس از آن، حفره امنیتی به مهاجم اجازه می‌دهد تا فایل‌های مخرب خود را در مسیرهای حساس سیستم قرار دهد یا فایل‌های موجود را بازنویسی کرده و جریان اجرای برنامه‌ها را به نفع خود تغییر دهد. ZDI هر دو باگ را در دسته «پیمایش مسیر منجر به اجرای کد از راه دور» طبقه‌بندی کرده است.

در همین رابطه بخوانید:

– آیا CPU هم هک می‌شود؟ مروری بر آسیب‌پذیری‌های امنیتی پردازنده مرکزی
– هشدار امنیتی: همین حالا WinRAR را آپدیت کنید، باگ جدید دوباره دردسرساز شد

چرا به‌روزرسانی فوری ضروری است؟

ایگور پاولوف، توسعه‌دهنده 7-Zip، در تیرماه گذشته نسخه ۲۵.۰۰ را منتشر کرد که در آن این آسیب‌پذیری‌ها به همراه چند مشکل کوچک‌تر در مدیریت آرشیوهای RAR و COM برطرف شده بودند. با این حال، جزئیات امنیتی این حفره‌ها تا همین هفته و با انتشار گزارش ZDI عمومی نشده بود. این بدان معناست که کاربرانی که از ابتدای تابستان نرم‌افزار خود را به‌روز نکرده‌اند، ماه‌ها بدون اطلاع در معرض خطر بوده‌اند.

یکی از مشکلات امنیتی 7-Zip آن است که برزورسانی خودکار ندارد و کاربران باید به‌صورت دستی این نرم‌افزار را آپدیت کنند. همچنین بسیاری نیز از نسخه‌های قدیمی‌تر یا Portable استفاده می‌کنند.

برای محافظت از سیستم خود، نسخه ۲۵.۰۱ یا جدیدتر 7-Zip را مستقیماً از وب‌سایت رسمی پروژه دانلود و نصب کنید.