Nieuws
image

7-Zip dicht lek dat remote code execution via zip-bestanden mogelijk maakt

maandag 13 oktober 2025, 14:28 door Redactie, 0 reacties

In de populaire archiveringssoftware 7-Zip zijn twee path traversal-kwetsbaarheden gepatcht die remote code execution via speciaal geprepareerde zip-bestanden mogelijk maken. De update verscheen al afgelopen juli, maar destijds werd het bestaan van de kwetsbaarheden niet bekendgemaakt. De problemen (CVE-2025-11001 en CVE-2025-11002) doen zich voor bij het verwerken van symbolische links in zip-bestanden.

Bij het openen van dergelijke zip-bestanden is het mogelijk voor een aanvaller om bestanden naar een andere directory te schrijven. Zodoende kan er malware of andere malafide code worden geladen. De kwetsbaarheden werden gepatcht in 7-Zip versie 25.00, die op 5 juli verscheen. De ontwikkelaar was op 2 mei over de problemen ingelicht. In de release notes destijds werd er geen melding van de beveiligingslekken gemaakt. Securitybedrijf ZDI heeft nu het bestaan van de kwetsbaarheden bekendgemaakt. De impact van de lekken is op een schaal van 1 tot en met 10 beoordeeld met een 7.0, dat mede komt omdat het slachtoffer zelf het zip-bestand moet openen.

Nog geen reacties
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure