Britse gezondheidszorg NHS waarschuwt voor misbruik van lek in 7-Zip
De Britse gezondheidszorg NHS waarschuwt voor actief misbruik van een kwetsbaarheid in het populaire archiveringsprogramma 7-Zip, waardoor remote code execution via speciaal geprepareerde zip-bestanden mogelijk is. Het beveiligingslek (CVE-2025-11001) werd in 7-Zip versie 25.00 gepatcht, die op 5 juli verscheen. In de release notes destijds werd het expliciete bestaan van de kwetsbaarheid echter niet gemeld.
Het beveiligingslek doet zich voor bij het verwerken van symbolische links in zip-bestanden. Bij het openen van dergelijke zip-bestanden is het mogelijk voor een aanvaller om bestanden naar een andere directory te schrijven. Zodoende kan er malware of andere malafide code worden geladen. Securitybedrijf ZDI maakte vorige maand het bestaan van de kwetsbaarheid bekend. De impact van het lek is op een schaal van 1 tot en met 10 beoordeeld met een 7.0, wat mede komt omdat het slachtoffer zelf het zip-bestand moet openen.
Volgens NHS Digital, dat digitale diensten voor de Britse National Health Service (NHS) ontwikkelt, maken aanvallers actief misbruik van CVE-2025-11001. Details over de aanvallen zijn echter niet gegeven. Zorginstanties worden opgeroepen om hun versie van 7-Zip te updaten mocht dat nog niet zijn gedaan.
En zijn er alternatieven in linux die minder vaak kritieke lekken bevatten?
Voorheen goed gebruik van gemaakt, maar tegenwoordig lijkt het meer een onnodig risico te introduceren dan daadwerkelijk iets toe te voegen.
Of zijn er echt bepaalde functionaliteiten waar mensen hier niet zonder kunnen en zweren bij 7zip? Ben benieuwd.
Het belangrijkste gemis van de ingebouwde functie in Windows is de encryptie optie. Met 7-zip maak je eenvoudig een met wachtwoord beveiligde zip. Maar het heeft nog veel meer functies die van pas komen, zoals het opspitsen in meerdere volumes, de keuze voor verschillende archief formaten of het kunnen updaten van een bestaand archief. Om maar wat te noemen ;)
Wanneer je 3rd party applicaties gebruikt, dan moet je ook altijd zorgen dat ze up-2-date blijven, net als Windows en Office. Dat scheelt aardig wat kopzorgen.
In RAR zitten ook lekken. En als die lekken in RAR zitten dan zitten die ook in 7-zip, want die gebruikt de unrar broncode van RAR. Bovendien is 7-zip gratis en RAR niet bij langdurig gebruik.
Functionaliteit die ik veel gebruik in 7-zip is die om een archive te testen op fouten. Dit heeft Windows niet standaard volgens mij. Ik had het onder Windows met 7-zip onder de rechtermuisknop zitten. Als 7-zip ook archives kon repareren, dan zou dat helemaal goed zijn.
Ik gebruik het .zip formaat, want dat werkt overal op. Windows, MacOS, Linux, alles.
Bovendien kan 7-zip .zip bestanden kleiner krijgen als Winzip zelf.
Sneller multi threaded, hogere compressie verhoudingen, geavanceerde user interface, meer opties. Enige wat ik kan bedenken is dat waar RAR beter in is corruptiebestendigheid.
RAR is niet open source, let op. Daarom ook onder linux zul je de non-free repository moeten aanzetten om hem te kunnen installeren.
Dus ja 7-zip is beter voor 99% dan RAR.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?