hadicanim
Aktif Üye
Popüler arşiv programı 7-Zip'teki bir güvenlik açığı, İnternet'ten indirilen dosyaların Web İşareti (MotW) etiketlemesinin atlanmasına olanak tanıyor. Bu, saldırganların kötü amaçlı kod enjekte etmesine ve yürütmesine olanak sağlamayı amaçlamaktadır. 7-Zip kullanıcılarının kendilerini korumak için harekete geçmeleri ve mevcut güncellemeyi yüklemeleri gerekmektedir.
Reklamcılık
Sıfır Gün Girişimi (ZDI), bir güvenlik duyurusunda İnternet'ten gelen saldırganların MotW koruma mekanizmasını yenebileceğini ancak bunun, kötü amaçlı bir web sitesini ziyaret etmek veya kötü amaçlı bir dosyayı açmak gibi kullanıcı etkileşimi gerektirdiğini açıklıyor.
Dosya açma yoluyla kod kaçakçılığı
Hata, arşiv dosyalarının işlenmesini etkiler. 7-Zip, Web İşareti işaretine sahip dikkatle hazırlanmış arşivleri ayıklarken, bu MotW'yi paketlenmemiş dosyalara aktarmaz. ZDI (CVE-2025-0411, CVSS), saldırganların kullanıcılar bağlamında rastgele kod yürütmek için bu güvenlik açığından yararlanabileceğini açıklıyor 7.0“Risk”yüksek“).
Hata geçen Ekim ayında bildirildi ve bilgiler şu anda koordineli bir şekilde yayınlanıyor. Güvenlik açığı, geçen yılın Kasım ayı sonundan bu yana 7-Zip indirme sayfasından indirilebilen 7-Zip 24.09 veya daha yeni sürümüyle kapatılıyor.
7-Zip sürümü iletişim kutusu, programın hangi sürümünün bilgisayarda çalıştığını gösterir. 24.09 veya daha yüksek olmalıdır.
(Resim: Ekran görüntüsü / dmk)
7-Zip entegre bir güncelleme mekanizması içermediğinden yazılımı kullananların kendilerinin harekete geçmesi ve güncel sürümü indirip yüklemesi gerekmektedir. Aksi halde sisteminiz bu yüksek riskli güvenlik açığına karşı savunmasız kalacaktır. 7-Zip dosya yöneticisinde, “Yardım” – “7-Zip Hakkında…” menüsünden bilgisayarda o anda hangi sürümün etkin olduğunu öğrenebilirsiniz.
Geçtiğimiz Kasım ayında, 7-Zip'te, manipüle edilmiş arşivler kullanılarak kötü amaçlı kodların enjekte edilmesini ve çalıştırılmasını da mümkün kılan bir güvenlik açığı ortaya çıktı. Bu, Zstandard arşivlerinin sıkıştırması açılırken meydana gelebilecek bir tamsayı eksikliğidir ve sonuç olarak kod belleğe yazılabilir.
(dmk)
Reklamcılık
Sıfır Gün Girişimi (ZDI), bir güvenlik duyurusunda İnternet'ten gelen saldırganların MotW koruma mekanizmasını yenebileceğini ancak bunun, kötü amaçlı bir web sitesini ziyaret etmek veya kötü amaçlı bir dosyayı açmak gibi kullanıcı etkileşimi gerektirdiğini açıklıyor.
Dosya açma yoluyla kod kaçakçılığı
Hata, arşiv dosyalarının işlenmesini etkiler. 7-Zip, Web İşareti işaretine sahip dikkatle hazırlanmış arşivleri ayıklarken, bu MotW'yi paketlenmemiş dosyalara aktarmaz. ZDI (CVE-2025-0411, CVSS), saldırganların kullanıcılar bağlamında rastgele kod yürütmek için bu güvenlik açığından yararlanabileceğini açıklıyor 7.0“Risk”yüksek“).
Hata geçen Ekim ayında bildirildi ve bilgiler şu anda koordineli bir şekilde yayınlanıyor. Güvenlik açığı, geçen yılın Kasım ayı sonundan bu yana 7-Zip indirme sayfasından indirilebilen 7-Zip 24.09 veya daha yeni sürümüyle kapatılıyor.
7-Zip sürümü iletişim kutusu, programın hangi sürümünün bilgisayarda çalıştığını gösterir. 24.09 veya daha yüksek olmalıdır.
(Resim: Ekran görüntüsü / dmk)
7-Zip entegre bir güncelleme mekanizması içermediğinden yazılımı kullananların kendilerinin harekete geçmesi ve güncel sürümü indirip yüklemesi gerekmektedir. Aksi halde sisteminiz bu yüksek riskli güvenlik açığına karşı savunmasız kalacaktır. 7-Zip dosya yöneticisinde, “Yardım” – “7-Zip Hakkında…” menüsünden bilgisayarda o anda hangi sürümün etkin olduğunu öğrenebilirsiniz.
Geçtiğimiz Kasım ayında, 7-Zip'te, manipüle edilmiş arşivler kullanılarak kötü amaçlı kodların enjekte edilmesini ve çalıştırılmasını da mümkün kılan bir güvenlik açığı ortaya çıktı. Bu, Zstandard arşivlerinin sıkıştırması açılırken meydana gelebilecek bir tamsayı eksikliğidir ve sonuç olarak kod belleğe yazılabilir.
(dmk)