Günümüzde güvenlik açıkları hız kesmeden devam ederken, popüler açık kaynaklı arşiv yönetim aracı 7-Zip de ciddi bir güvenlik açığıyla gündemde. 8.8 gibi yüksek bir CVE puanına sahip olan bu açık, zararlı kod çalıştırılmasına kapı aralıyor.
Teknoloji dünyasında geniş bir kullanıcı kitlesine sahip olan 7-Zip'te keşfedilen bu güvenlik açığı, kullanıcıların hazırlanan zararlı bir arşivi (.7z, .zip, .rar vb.) açmasıyla tetikleniyor. Bu durum, özel bir işlem yapmaya gerek kalmadan, yalnızca arşivi açarak bilgisayarda zararlı kodun çalışmasına neden olabiliyor. Bu nedenle, kullanıcıların en kısa sürede en güncel sürüm olan ve Nisan ayı sonunda yayınlanan 26.01'e güncelleme yapmaları önemle tavsiye ediliyor. Önceki tüm sürümler bu açıktan etkileniyor.
Durumun ciddiyeti, 7-Zip'in yaygın kullanımından kaynaklanıyor. Yalnızca Windows masaüstü uygulaması değil, aynı zamanda farklı işletim sistemlerinde kullanılan komut satırı sürümleri de bu açıktan etkileniyor. 7-Zip'in kendi içinde bir otomatik güncelleme mekanizması bulunmaması, kullanıcıların güncellemeleri manuel olarak takip etmelerini veya paket yönetim sistemlerini kullanmalarını gerektiriyor.
Bu güvenlik açığı, özellikle milyonlarca komut satırı betiği, CI/CD iş akışları ve herhangi bir şekilde '7z' binary'sini çağıran ve zararlı bir arşivi açan (sadece içeriğini listelemek için bile olsa) sistemler için büyük bir risk oluşturuyor. Bu durum, potansiyel olarak yüz milyonlarca cihazı etkileyebilecek bir tehdit anlamına geliyor.
Sorun, bazı Linux dağıtımlarında varsayılan olarak yüklü gelen eski 'p7zip' sürümleriyle daha da büyüyor. Örneğin, bir sunucunun otomatik olarak arşiv içeriklerini listelemesi durumunda, bu tür sistemler de büyük bir risk altında olabilir. 7-Zip'in milyonlarca kez indirildiği düşünüldüğünde, bu sayının oldukça yüksek olduğu tahmin ediliyor.
Ayrıca, 7-Zip'in açık kaynaklı yapısı nedeniyle, temel kütüphanelerinin birçok üçüncü taraf yazılımda da bulunması, etki alanını daha da genişletiyor. Bu yazılımlar arasında antivirüs tarayıcıları, yedekleme ve otomasyon araçları, log analiz yazılımları, zararlı yazılım analiz araçları ve hatta birçok dosya yöneticisi yer alıyor.
Bu tür yazılımların zararlı arşivi otomatik olarak işlemesi ve bazılarının yüksek yetkilerle çalışıyor olması, durumun daha da kötüleşmesine neden oluyor. Tüm bu etkenler göz önüne alındığında, neredeyse her bilgisayar ve sunucuda, bu tür bir saldırıya karşı savunmasız kalabilecek bir 7-Zip binary'sinin veya kodunun bulunma ihtimali yüksek.
Yapılan testler, Ubuntu 24, Ubuntu 26 ve RHEL 8 gibi popüler sistemlerin de hala savunmasız sürümleri barındırdığını gösteriyor. Üstelik birçok OEM sistem, 7-Zip'in ücretsiz ve açık kaynaklı olması nedeniyle varsayılan olarak bu aracı yüklüyor. Fedora'da yaygın olan 'p7zip' paketi ve birçok Docker imajının ana sürümleri de bu açıktan etkileniyor.
Güvenlik açığının temelinde, 7-Zip'in NTFS disk imajlarını açma yeteneği yatan karmaşık bir kod hatası bulunuyor. .ntfs ve .img gibi disk imajlarının açılması sırasında yaşanan bir hata, saldırganların tampon (buffer) için yanlış değerler sağlamasına olanak tanıyor. Bu durum, beklenenden daha büyük bir tampon oluşturularak zararlı kodun çalıştırılmasına yol açabiliyor. Kullanıcılar bu dosya türlerini kullanmasa bile, 7-Zip dosya uzantısına bakmaksızın dosyanın ilk birkaç baytına göre dosya türünü belirlediği için, zararlı bir NTFS imajını .7z, .rar veya .zip gibi farklı bir arşiv formatı içinde sunarak da saldırı gerçekleştirilebiliyor.
