I programmi open source stanno conquistando una posizione centrale nel panorama tecnologico. Ciò grazie alla loro trasparenza e al contributo costante delle comunità di sviluppo. Eppure, l’assenza di sistemi di manutenzione automatica può trasformarsi in un punto debole. Come dimostra il recente caso che ha coinvolto 7-Zip, uno dei software di compressione più popolari al mondo. Due falle di sicurezza hanno esposto milioni di computer a potenziali attacchi da remoto. Le vulnerabilità, individuate dal programma Zero Day Initiative di Trend Micro sono state classificate come CVE-2025-11001 e CVE-2025-11002. Derivano da un difetto nella gestione dei collegamenti simbolici (symlink). I quali si trovano all’interno dei file ZIP. In termini pratici, un archivio appositamente creato può indurre 7-Zip a estrarre elementi al di fuori della cartella di destinazione. Consentendo a un aggressore di scrivere o eseguire file nel sistema della vittima.
Nuove criticità per 7-Zip: ecco i dettagli emersi
L’attacco può avere effetti devastanti. Un semplice file scaricato dal web o ricevuto tramite posta elettronica può essere sufficiente per compromettere un dispositivo. Una volta aperto, il codice dannoso opera con gli stessi privilegi dell’account attivo, mettendo a rischio dati e integrità del sistema. Il creatore del programma, Igor Pavlov, è stato informato delle criticità nel mese di maggio e ha rilasciato un aggiornamento correttivo con la versione 7-Zip 25.00 lo scorso 5 luglio.
Successivamente, la build 25.01 ha ulteriormente consolidato la sicurezza, rendendola oggi la versione più affidabile. Eppure, la maggior parte degli utenti non ha ancora effettuato l’aggiornamento, e ciò rappresenta l’aspetto più delicato della vicenda. 7-Zip non include alcuna funzione di aggiornamento automatico, per cui chi utilizza versioni precedenti resta inconsapevolmente esposto.
Gli esperti consigliano di scaricare manualmente l’ultima release dal sito ufficiale e di evitare l’apertura di archivi provenienti da fonti sconosciute o non verificate. Una misura di cautela che continua a essere essenziale nella difesa quotidiana contro le minacce informatiche.
