Güvenlik araştırmacıları, popüler açık kaynak dosya arşivleme çözümü 7-Zip’in eski sürümlerindeki bir zafiyete dikkat çekti. Bu zafiyet, Tehdit aktörlerinin Web Güvenlik İşareti’ni atlamasına olanak tanıyordu. Sorun, Kasım 2024’ün sonlarında düzeltildi.

Son zamanlarda popüler açık kaynak dosya arşivleme çözümü 7-Zip’te yüksek ciddiyette bir zafiyet keşfedildi ve düzeltildi. Ürünün otomatik güncelleme özelliği olmadığı için kullanıcıların en kısa sürede manuel olarak en yeni sürüme yükseltmeleri tavsiye ediliyor. Söz konusu zafiyet, CVE-2025-0411 olarak izleniyor. Tehdit aktörlerinin, gömülü arşivlerden dosya çıkaran hedef uç noktalarda kötü amaçlı kodları çalıştırmalarına izin veren bir Web Güvenlik İşareti (MotW) atlatma olarak tanımlanmaktadır. Bu zafiyetin ciddiyet derecesi 10 üzerinden 7 olarak belirlendi – yüksek.

Web Güvenlik İşareti, Windows’ta dosyaları internetten indirilen ve kökenlerini gösteren bir meta veri ekleyerek potansiyel olarak güvensiz olarak işaretler. Bu, kötü amaçlı betiklerin veya çalıştırılabilir dosyaların otomatik olarak çalışmasını önleyerek, kullanıcıların bu tür dosyaları açmadan önce onaylamalarına yardımcı olur.

Zafiyetin kapatılması
7-Zip, MotW’yi 2022 Haziran’ında, 22.00 sürümünde desteklemeye başladı. Ancak, özellik yanlış bir şekilde uygulanmıştı ve atlatılabilirdi. Yakın zamanda yayınlanan bir danışmanlıkta, siber güvenlik araştırmacıları Trend Micro şöyle açıklıyor: “Bu zafiyet, 7-Zip’in etkilenen kurulumlarında Mark-of-the-Web koruma mekanizmasını atlamak için uzaktan saldırganlara izin verir. Bu zafiyetin sömürülmesi için kullanıcı etkileşimi gereklidir, yani hedefin kötü amaçlı bir sayfayı ziyaret etmesi veya kötü amaçlı bir dosyayı açması gereklidir.” Bug, 2024 Kasım’ın sonlarında piyasaya sürülen 24.09 sürümü ile etkisiz hale getirildi.

“7-Zip Dosya Yöneticisi, gömülü arşivlerdeki çıkarılan dosyalar için Zone.Identifier akımını yayınlamadı (eğer başka bir açık arşiv içinde başka bir açık arşiv varsa),” projenin geliştiricisi Igor Pavlov açıkladı. BleepingComputer üzerinden.