All’inizio di questa settimana, la società di sicurezza Trend Micro ha pubblicato un avviso relativamente a una grave falla scovata in 7-Zip, il popolare software gratuito per sistemi operativi Windows che consente di creare e aprire archivi compressi. Considerando il fatto che si tratta di una risorsa che viene adoperata quotidianamente da milioni di persone in tutto il mondo, la situazione risulta essere abbastanza preoccupante.
7-Zip: scovata a falla CVE-2025-0411, bisogna aggiornare
Andando in dettaglio, secondo l’avviso, la vulnerabilità, identificata come CVE-2025-0411, consente agli hacker di bypassare la funzione di sicurezza Mark of the Web (MotW) sulle installazioni di 7-Zip in Windows ed eseguire codice da remoto sul PC durante l’estrazione da un file di archivio caricato con malware.
L’interazione dell’utente è necessaria per sfruttare questa vulnerabilità, in quanto il bersaglio deve visitare una pagina dannosa o aprire un file infetto.
Il difetto specifico esiste nella gestione dei file archiviati. Quando si estraggono file da un archivio creato che porta il Mark-of-the-Web, 7-Zip non propaga quest’ultimo ai file estratti. Un utente malintenzionato può pertanto sfruttare questa vulnerabilità per eseguire codice arbitrario nel contesto dell’utente corrente.
Da tenere presente che la falla è già stata corretta da Igor Pavlov, sviluppatore di 7-Zip, il 30 novembre 2024 con il rilascio della versione 24.09 del software.
Il problema sta però nel fatto che 7-Zip non dispone di una funzione di aggiornamento automatico, pertanto chi non ha provveduto manualmente a cerare e installare nuovi update successivamente alla data indicata risulta essere ancora esposto a questo exploit.