7-Zip, quanto sono pericolose le due vulnerabilità scoperte di recente?

Quando si scoprono nuove vulnerabilità di sicurezza in un’utilità per la gestione di archivi compressi come 7-Zip è importante drizzare le antenne. Questi software sono infatti comunemente utilizzati per gestire file e cartelle, con la possibilità di avviare attività di decompressione in una directory di propria scelta. Se un criminale informatico riuscisse a inserire codice dannoso all’interno di un archivio compresso e indurre un programma come 7-Zip a comportarsi in modo anomalo, allora potrebbe davvero causare gravi danni.

Il team di Trend Micro ZDI ha recentemente segnalato la scoperta di due falle di sicurezza in 7-Zip che possono essere sfruttate per disporre l’estrazione di file arbitrari al di fuori della cartella di destinazione prevista, aprendo la porta a possibili esecuzioni di codice malevolo.

Gli sviluppatori di 7-Zip hanno già risolto il problema, ma è importante aggiornare

È importante sgombrare il campo dagli equivoci: entrambe le vulnerabilità in questione, CVE-2025-11001 e CVE-2025-11002, sono già state risolte dall’autore di 7-Zip, Igor Pavlov, che ne cura lo sviluppo sin dalla prima versione datata 1999.

Gli esperti di ZDI hanno segnalato il problema a maggio 2025 e Pavlov si è subito adoperato per risolverlo. La pubblicazione dei due bollettini avviene adesso ma chiunque, nel frattempo, abbia già aggiornato a 7-Zip 25.00 o release successive non corre più alcun rischio.

L’importante è cliccare sul menu Aiuto, Informazioni su 7-Zip per verificare il numero di versione in uso. Se fosse inferiore a 7-Zip 25.00, è importante effettuare il download della release più recente e aggiornare subito.

L’assenza di un meccanismo di aggiornamento automatico rappresenta un rischio significativo: molti utenti continuano a usare versioni obsolete, compatibili persino con Windows 2000 e XP.

La natura delle vulnerabilità

Entrambe le vulnerabilità condividono la stessa origine tecnica: un difetto nel gestire i link simbolici all’interno dei file ZIP. Quando 7-Zip elabora archivi ZIP appositamente costruiti, può estrarre file al di fuori della cartella di destinazione prevista.

Il problema rientra nella categoria directory traversal con esecuzione remota di codice (RCE). La gravità deriva dal fatto che, se sfruttato, l’attacco può eseguire codice con gli stessi privilegi dell’utente che apre l’archivio. L’aggressore remoto che persuadesse la vittima ad aprire l’archivio Zip malevolo, potrebbe quindi compromettere il sistema altrui.

Si immagini, ad esempio, alla possibilità che un semplice file ZIP possa provocare l’estrazione di script dannosi all’interno delle cartelle di sistema, ad esempio quelle relative all’esecuzione automatica di Windows 11 o di Windows 10.

Gli attacchi possono prendere di mira singoli utenti ma in ambienti aziendali con permessi elevati il rischio aumenta esponenzialmente.