7-Zip 24.09: Risolta la falla che permetteva l’esecuzione di codice malevolo
È stata scoperta e una vulnerabilità nell’archiviatore 7-Zip che poteva aggirare la funzionalità di sicurezza Mark of the Web (MotW) in Windows ed eseguire codice sul computer della vittima.
Il supporto MotW è arrivato a 7-Zip nel giugno 2022, a partire dalla versione 22.00. Da allora, i MotW sono stati assegnati a tutti i file estratti dagli archivi scaricati. Questi flag informano il sistema operativo, i browser e altre applicazioni che i file potrebbero provenire da fonti non attendibili e devono essere trattati con cautela.
Di conseguenza, quando fanno doppio clic sui file estratti utilizzando 7-Zip, gli utenti dovrebbero visualizzare un avviso che informa che l’apertura o l’esecuzione dei file potrebbe comportare azioni potenzialmente pericolose, inclusa l’installazione di malware.
Inoltre, Microsoft Office risponderà al MotW e aprirà tali documenti in modalità Visualizzazione protetta, ovvero in modalità di sola lettura, con le macro disabilitate. Secondo i ricercatori di Trend Micro, una vulnerabilità 7-Zip scoperta di recente (CVE-2025-0411) la quale ha consentito agli aggressori di aggirare questi avvisi ed eseguire codice dannoso sui computer delle vittime.
“La vulnerabilità consente agli aggressori remoti di aggirare il meccanismo di protezione Mark-of-the-Web nelle versioni vulnerabili di 7-Zip. Lo sfruttamento del problema richiede l’intervento dell’utente per visitare una pagina dannosa o aprire un file dannoso, scrivono i ricercatori. — Lo svantaggio è legato all’elaborazione dei file di archivio. Quando si estraggono file da un archivio MotW, 7-Zip non applica i contrassegni MotW ai file estratti. Un utente malintenzionato potrebbe sfruttare questo problema per eseguire codice arbitrario nel contesto dell’utente corrente.”
Lo sviluppatore di 7-Zip Igor Pavlov ha risolto questa vulnerabilità il 30 novembre 2024, rilasciando la versione 7-Zip 24.09. “Il file manager 7-Zip non propagava il flusso Zone.Identifier ai file estratti dagli archivi nidificati”, ha spiegato Pavlov .
Poiché 7-Zip non dispone di una funzione di aggiornamento automatico, si consiglia agli utenti di aggiornare manualmente l’archiviatore a una versione sicura il prima possibile.
L'articolo 7-Zip 24.09: Risolta la falla che permetteva l’esecuzione di codice malevolo proviene da il blog della sicurezza informatica.