Il popolare programma open source 7-Zip, tra i più usati al mondo per la compressione dei file, è al centro di un importante allarme di sicurezza. Secondo quanto rivelato dalla Zero Day Initiative di Trend Micro, sono state individuate due gravi vulnerabilità – identificate come CVE-2025-11001 e CVE-2025-11002 – che potrebbero consentire l’esecuzione di codice malevolo da remoto.
Le falle derivano da un errore nella gestione dei collegamenti simbolici (symlink) presenti nei file ZIP. Un archivio manipolato ad arte può indurre il software a estrarre file al di fuori della directory di destinazione, consentendo così a un cybercriminale di sovrascrivere o eseguire file all’interno del sistema operativo della vittima. In altre parole, un semplice archivio ZIP scaricato o ricevuto via e-mail può diventare un veicolo per l’installazione di malware.
Gli esperti sottolineano che l’attacco richiede l’interazione dell’utente, ma il livello di rischio resta elevato. Una volta aperto il file malevolo, il codice verrebbe eseguito con i privilegi dell’account in uso, mettendo potenzialmente a repentaglio i dati e la stabilità del sistema.
Aggiornare 7-Zip è essenziale
Trend Micro ha segnalato le due vulnerabilità al creatore del software, Igor Pavlov, già lo scorso maggio. Pavlov è intervenuto rilasciando la versione 7-Zip 25.00 il 5 luglio, corretta poi con un ulteriore aggiornamento, la build 25.01, oggi considerata la più sicura e stabile.
Il problema principale è che 7-Zip non dispone di un sistema di aggiornamento automatico, e questo espone milioni di utenti che utilizzano versioni obsolete. Chi non ha ancora installato la release 25.00 o successive resta quindi vulnerabile, senza ricevere alcuna notifica o avviso.
L’unico modo per mettersi al riparo è scaricare manualmente l’ultima versione dal sito ufficiale e procedere subito all’installazione. Gli esperti raccomandano inoltre di evitare l’apertura di archivi provenienti da fonti sconosciute o non attendibili, una precauzione che continua a rappresentare una difesa efficace contro la maggior parte delle minacce informatiche.
