7-zip va aggiornato subito: falla critica scoperta in praticamente tutte le versioni

Una vulnerabilità molto grave scoperta in 7-Zip sta mettendo a rischio centinaia di milioni di dispositivi tra PC Windows, server Linux, ambienti cloud e sistemi automatizzati. È classificata con punteggio CVSS addirittura di 8.8: permette l’esecuzione di codice malevolo semplicemente aprendo un archivio compromesso, senza nemmeno estrarne il contenuto, anche solo per vedere la lista dei file contenuti. Ironicamente, una scheda tecnica scarsa tiene il dispositivo al sicuro: l’exploit a quanto pare non funziona su macchine con meno di 16 GB di RAM.

La falla è presente in praticamente tutte le versioni del popolare (diciamo pure uno dei più usati in tutto il mondo, tra app user-facing e utility da riga di comando integrate in script, server e automatizzazioni varie) tool di compressione precedenti alla 26.01, che è stata pubblicata a fine aprile. Gli utenti sono quindi invitati ad aggiornare immediatamente il software quanto prima - soprattutto prima di aprire un archivio “nuovo” di cui non si è assolutamente certi della provenienza.

Il rischio si estende anche a numerosi software di terze parti che integrano le librerie di 7-Zip: antivirus, strumenti di backup, piattaforme di analisi malware, file manager e sistemi di automazione potrebbero essere vulnerabili. In molti casi basta che il software analizzi automaticamente l’archivio per attivare il virus. Anche diverse distribuzioni Linux risultano coinvolte, soprattutto quelle che hanno versioni ormai obsolete del pacchetto p7zip. Tra i sistemi citati compaiono Ubuntu 24, Ubuntu 26 e RHEL (Red Hat Enterprise) 8. Il problema riguarda inoltre container Docker e ambienti CI/CD dove l’eseguibile 7zip viene spesso eseguito in automatico.

CLICCA QUI PER CONTINUARE A LEGGERE