دو آسیب‌پذیری خطرناک در 7Zip کشف شده است. کاربران باید فوراً به صورت دستی نرم‌افزار خود را به نسخه ۲۵.۰۱ یا جدیدتر آپدیت کنند.

دو آسیب‌پذیری با درجه خطر بالا در نرم‌افزار محبوب فشرده‌سازی فایل 7Zip کشف شده است که به مهاجمان اجازه می‌دهد تا با فریب‌دادن کاربر برای بازکردن یک فایل ZIP مخرب، کدهای دلخواه خود را بر روی سیستم اجرا کنند. وصله امنیتی این حفره‌ها از ماه ژوئیه منتشر شده، اما جزئیات آن به تازگی علنی شده است؛ این یعنی میلیون‌ها کاربر برای ماه‌ها بدون آنکه بدانند، در معرض خطر بوده‌اند.

این دو آسیب‌پذیری که با کدهای CVE-2025-11001 و CVE-2025-11002 ردیابی می‌شوند، از نقصی در نحوه پردازش «لینک‌های نمادین» در فایل‌های ZIP توسط 7Zip نشأت می‌گیرند. در عمل، هکر می‌تواند یک فایل ZIP را به گونه‌ای دستکاری کند که در هنگام استخراج، از پوشه مقصد مورد نظر شما «فرار کند» و فایل‌های مخرب خود را در مکان‌های حساس دیگر سیستم (مانند پوشه Startup ویندوز) کپی کند.

این حمله که به آن «پیمایش دایرکتوری» می‌گویند، در صورت موفقیت می‌تواند به اجرای کد از راه دور منجر شود. این یعنی مهاجم می‌تواند کنترل سیستم شما را با همان سطح دسترسی کاربر فعلی به دست بگیرد که برای به خطر انداختن کامل محیط ویندوزی کافی است.

آسیب‌پذیری خطرناک 7Zip
نکته نگران‌کننده درمورد این آسیب‌پذیری‌ها، تأخیر در اطلاع‌رسانی عمومی است. «ایگور پاولوف»، توسعه‌دهنده 7Zip، وصله امنیتی این حفره‌ها را در نسخه ۲۵.۰۰ که در تاریخ ۵ ژوئیه منتشر شد، قرار داده بود. اما جزئیات فنی و خطرناک‌بودن این آسیب‌پذیری‌ها تا این هفته علنی نشده بود.

این تأخیر چندماهه، به همراه این واقعیت که 7Zip فاقد مکانیسم به‌روزرسانی خودکار است، به این معناست که میلیون‌ها کاربری که از تابستان تاکنون نرم‌افزار خود را به صورت دستی آپدیت نکرده‌اند، کاملاً در برابر این حمله آسیب‌پذیر بوده‌اند.

محافظت در برابر این تهدید بسیار ساده است:

نسخه فعلی 7Zip خود را بررسی کنید.
اگر نسخه شما قدیمی‌تر از ۲۵.۰۱ است، فوراً به وب‌سایت رسمی 7Zip مراجعه کنید و جدیدترین نسخه را دانلود و نصب کنید.
نصب نسخه جدید، نسخه قدیمی شما را بدون تغییر در تنظیمات، به‌روزرسانی خواهد کرد.
تا زمانی که آپدیت نکرده‌اید، از بازکردن و استخراج فایل‌های فشرده از منابع ناشناس و غیرقابل اعتماد خودداری کنید.