7-Zip sotto attacco. Nuove vulnerabilità mettono a rischio milioni di sistemi

 Negli ultimi mesi sono emerse nuove falle in 7-Zip, nonostante lo sviluppatore avesse già rilasciato versioni correttive, segnalando che il software non è immune a problemi gravi. Una delle più recenti vulnerabilità, CVE-2025-0411, consente ad attaccanti remoti di bypassare il meccanismo “Mark-of-the-Web” (MotW), una protezione di Windows che marca i file provenienti da Internet come potenzialmente pericolosi. In pratica, al momento dell’estrazione da archivi appositamente costruiti, 7-Zip non trasferisce il bandierino MotW ai file estratti, permettendo a malware di passare inosservati e potenzialmente di eseguirsi con i privilegi dell’utente. La falla è stata pubblicamente documentata da Zero Day Initiative con la segnalazione ZDI-25-045, e la correzione è stata introdotta nella versione 24.09 di 7-Zip. Diverse agenzie di sicurezza — ad esempio la Cyber Security Agency di Singapore — hanno invitato utenti e amministratori a aggiornare immediatamente alla versione 24.09 per mitigare i rischi. Secondo rapporti ufficiali è già stata osservata attività di sfruttamento in scenari di spear-phishing, con archivi annidati (nested archives) che aggirano il MotW e permettono l’esecuzione di payload malevoli. 

Ma il panorama non si limita a questa singola vulnerabilità: già nel 2024 era stata segnalata la falla nota come CVE-2024-11477, che riguarda la decompressione Zstandard in 7-Zip. Il bug è dovuto a un underflow intero non gestito prima dell’operazione di scrittura in memoria, e consente l’esecuzione remota di codice. Questa vulnerabilità era presente in tutte le versioni antecedenti la 24.07, e la sua gravità ha spinto gli esperti a considerarla un punto di svolta per chi utilizza 7-Zip in ambienti sensibili. Oltre a queste, è stata resa nota la vulnerabilità CVE-2025-53816, correlata al decodificatore RAR5: un heap Overflow che può portare a corruzione di memoria e potenziale Denial-of-Service (DoS) nelle versioni precedenti alla 25.00. 

Parallelamente, è stata identificata CVE-2025-53817, una dereferenziazione di puntatore nullo nella gestione di “Compound Documents”, anch’essa corretta nella release 25.00. In aggiunta, è emerso che la versione 25.01 introduce una patch per la vulnerabilità CVE-2025-55188, che manipola la gestione di symbolic link durante l’estrazione degli archivi e potrebbe permettere scritture arbitrarie o esecuzione di codice.

Tutto ciò mostra che, malgrado le versioni “sviluppatore” o intermedie possano sembrare aggiornate, nuove falle continuano a emergere e persino le versioni recenti non sono immuni da bug gravi. Ciò conferma che un singolo rilascio correttivo non basta: serve un processo continuo di verifica, analisi del codice e monitoraggio delle patch. Per chi gestisce ambienti aziendali, non è accettabile affidarsi alla stabile fiducia che “una versione appare sicura”; occorre una strategia difensiva che includa scansione automatica delle versioni installate, test di regressione, analisi di pacchetti compressi sospetti e politiche di update forzato. Infine, è essenziale segnalare che 7-Zip non dispone di un meccanismo di aggiornamento automatico, per cui l’onere della patch ricade sull’utente o l’amministratore che deve intervenire manualmente. In conclusione, l’evoluzione delle vulnerabilità in 7-Zip dimostra che anche strumenti apparentemente innocui come gli archivi possono diventare potenti vettori d’attacco.