Popüler açık kaynaklı dosya arşivleyicisi 7-Zip’te, uzaktaki saldırganların rastgele kod çalıştırmasına izin verebilecek iki yüksek önem dereceli güvenlik açığı keşfedildi.
CVE-2025-11001 ve CVE-2025-11002 olarak tanımlanan kusurlar, yazılımın en son sürümden önceki tüm sürümlerini etkiliyor ve hemen yama uygulanmasını gerektiriyor.
Sembolik Bağlantı İşlemedeki Kusur
Her iki güvenlik açığının da özü, 7-Zip’in ZIP arşivlerine gömülü sembolik bağlantıları işleme biçiminde yatmaktadır. Öneriye göre, bir tehdit aktörü bu zayıflıktan yararlanan, hazırlanmış veriler içeren kötü amaçlı bir ZIP dosyası oluşturabilir.
7-Zip’in güvenlik açığı bulunan bir sürümüne sahip bir kullanıcı arşivin sıkıştırmasını açmaya çalıştığında, kusurlu süreç bir dizin geçişi gerçekleştirmek üzere manipüle edilebilir.
Bu, çıkarma işleminin, dosyaları amaçlanan hedef klasörün dışına yazmasına ve potansiyel olarak kötü amaçlı yüklerin hassas sistem konumlarına yerleştirilmesine olanak tanır.
Saldırı, kötü amaçlı dosyanın teslimi yoluyla uzaktan başlatılsa da, mağdurun arşivi açmayı seçmesi gerektiğinden, istismar kullanıcı etkileşimi gerektirir. Belirli saldırı vektörleri, 7-Zip’in farklı ortamlarda nasıl uygulandığına bağlı olarak değişebilir.
Hem CVE-2025-11001 hem de CVE-2025-11002’ye, CVSS 3.0’da 7,0 puanı atanmıştır ve bu puanlar, yüksek önem derecesine sahip tehditler olarak sınıflandırılmaktadır.
Başarılı bir açıktan yararlanma, bir saldırganın etkilenen sistemde hizmet hesabının veya 7-Zip uygulamasını çalıştıran kullanıcının ayrıcalıklarıyla rasgele kod yürütmesine olanak tanıyabilir.
Bu, tüm sistemin tehlikeye girmesine, veri hırsızlığına veya fidye yazılımı gibi başka kötü amaçlı yazılımların yayılmasına yol açabilir.
Saldırının yüksek karmaşıklığı ve kullanıcı etkileşimi gerekliliği, güvenlik açıklarının kritik bir derecelendirme almasını engelliyor, ancak 7-Zip yardımcı programının yaygın kullanımı göz önüne alındığında gizlilik, bütünlük ve kullanılabilirlik üzerindeki potansiyel etki önemli olmaya devam ediyor.
| CVE Kimliği | Etkilenen Ürün | Güvenlik Açığı | CVSS 3.0 Puanı |
|---|---|---|---|
| CVE-2025-11002 | 7-Zip (25.00’dan önceki sürümler) | Sembolik Bağlantı İşleme Yoluyla Rastgele Kod Yürütme | 7,0 (Yüksek) |
| CVE-2025-11001 | 7-Zip (25.00’dan önceki sürümler) | Sembolik Bağlantı İşleme Yoluyla Rastgele Kod Yürütme | 7,0 (Yüksek) |
7-Zip’in geliştiricisi bu güvenlik kusurlarını gideren 25.00 sürümünü yayınladı. Olası istismarlara karşı korunmak için tüm kullanıcıların kurulumlarını derhal güncellemeleri şiddetle tavsiye edilir.
Güvenlik açıkları, sorumlu bir açıklama zaman çizelgesinin ardından ilk olarak 2 Mayıs 2025’te satıcıya bildirildi.
Daha sonra halkı riskler ve mevcut yama hakkında bilgilendirmek için 7 Ekim 2025’te koordineli bir kamu danışma belgesi yayınlandı. Bu güvenlik açıkları, takumi-san.ai ile birlikte çalışan GMO Flatt Security Inc.’den güvenlik araştırmacısı Ryota Shiga tarafından ortaya çıkarıldı.
Cyber Awareness Month Offer: Upskill With 100+ Premium Cybersecurity Courses From EHA's Diamond Membership: Join Today
