Utilizzi 7-Zip per estrarre i file RAR? Per il download dell'archivio ZIP? Quindi potrebbe non averti colpito per mesi. O forse lo è. E non te ne sei accorto.
Nell'ottobre 2025 è diventato pubblico: 7-Zip presentava due vulnerabilità di alto livello (CVE-2025-11001 e CVE-2025-11002) che gli aggressori sfruttavano per eseguire codice arbitrario sul computer.
Il problema: Symlink traversal ed esecuzione del codice
Suona impressionante? Lo e' anche lei. Ecco come funziona:
Un utente malintenzionato crea un file ZIP dannoso con dati appositamente manipolati. Se si decomprime l'archivio con una versione 7-zip precedente, l'elaborazione errata dei collegamenti simbolici sfrutta un errore di attraversamento della directory. Ciò consente all'aggressore di scrivere file al di fuori della cartella di destinazione, possibilmente con codice dannoso in posizioni sensibili del sistema.
Un classico attacco di traversata Symlink. Questo non è nuovo per la sicurezza, ma se colpisce 7-Zip, uno strumento che milioni di persone usano ogni giorno, allora diventa serio.
Da quanto tempo il problema esiste?
Questa è la domanda spaventosa. Le lacune sono state segnalate allo sviluppatore il 2 maggio 2025. L'annuncio pubblico è stato fatto solo il 7 ottobre 2025.
Sono più di cinque mesi, durante i quali i ricercatori di sicurezza hanno dato a Igor Pavlov il tempo di sviluppare una patch. Questa è chiamata divulgazione responsabile. Il lato buono: La patch era pronta prima che il mondo scoprisse che c'era un problema.
Il lato negativo? Erano tutti vulnerabili per tutto il tempo.
La venticinquesima versione è stata la soluzione.
Igor Pavlov, lo sviluppatore di 7-Zip, ha agito rapidamente. La versione 25.00 è stata rilasciata il 5 luglio 2025 e ha risolto le vulnerabilità insieme a diversi problemi minori con la gestione degli archivi RAR e COM. L'attuale versione stabile è la 25.01 (agosto 2025).
Il problema: Nessuno sapeva perché l'aggiornamento fosse importante. Perché i dettagli di sicurezza non sono stati pubblicati.
Perché è così pericoloso: Il problema dell'aggiornamento 7-zip
Ecco la debolezza principale: 7-Zip non si aggiorna automaticamente. Molte persone usano vecchie copie portatili che non vengono mai aggiornate.
Questo non è solo un punto debole del design. Si tratta di un disastro dell'architettura di sicurezza.
Confronta questo con Chrome, Firefox o Windows: Questi strumenti si aggiornano automaticamente in background. Si ottengono le correzioni di sicurezza senza pensarci.
7-zip? Devi andare al sito manualmente, scaricare e aggiornare la nuova versione. Quanti di voi lo fanno regolarmente?
Esattamente.
E poi ci sono gli ambienti Enterprise: 7-Zip spesso non viene catturato dai sistemi di gestione delle patch perché non viene installato tramite Windows Installer o un repository centrale. Vive come un corpo estraneo nell'infrastruttura IT.
L'escalation dei problemi 7-Zip
Non è la prima volta che 7-Zip fa notizia. All'inizio del 2025, è stato scoperto CVE-2025-0411, una vulnerabilità che ha permesso agli aggressori di bypassare le salvaguardie di Windows Mark-of-the-Web (MoTW) nascondendo i file negli archivi annidati e rimuovendo l'avviso "scaricato da Internet". Tale situazione era stata risolta nella versione 24.09 (novembre 2024).
Ma quanti ne avevano effettivamente installati 24.09?
Ora versione 25.01. Quanti lo aggiorneranno davvero?
Questo è il modello che sta emergendo: 7-Zip è come un'auto con nuovi difetti di sicurezza settimanali e il meccanico può solo sperare che tu venga da solo per risolverlo.
CVSS 7.0: Cosa significa?
Entrambe le vulnerabilità hanno un punteggio di base CVSS di 7,0. Lo sfruttamento richiede l'interazione dell'utente, ma l'ostacolo è basso: Basta aprire o estrarre un archivio dannoso.
Non si tratta di un valore "critico", ma di un valore "elevato". La valutazione è perché devi ancora fare clic su un file. Ma con i file ZIP dalle e-mail? Download da Internet? Questa è esattamente l'interazione che avviene milioni di volte al giorno.
Cosa è raccomandato?
La risposta è chiara: Se si utilizza 7-Zip, è necessario aggiornare immediatamente alla versione 25.01 o successiva, direttamente dal sito ufficiale scaricabile. Il programma di installazione sostituisce la vecchia copia e mantiene le impostazioni.
E fino ad allora? Essere estremamente attenti con i file ZIP da fonti sconosciute. Evita di aprire archivi che sembrano sospetti o provengono da e-mail non verificate.
Il modello più grande
Questo è ciò che è affascinante e allo stesso tempo spaventoso: Gli strumenti di compressione sono ovunque. ZIP, RAR, 7Z, tutti ampiamente utilizzati, tutti spesso sottovalutati nella sicurezza.
E mentre 7-Zip è un legittimo progetto open source di Igor Pavlov, che ovviamente gestisce da solo, ecco un problema fondamentale: Un'infrastruttura critica con un unico manutentore e nessun meccanismo di aggiornamento automatico è un rischio per la sicurezza, non una soluzione.
Cosa c'è rimasto?
La buona notizia: La patch è qui e funziona.
Le cattive notizie: Milioni non lo sapranno mai. Milioni non si aggiorneranno mai. Gli aggressori lo sanno. ??
Conclusione: 7-Zip è un ottimo strumento, ma è anche un promemoria del fatto che non tutti i progetti software hanno pratiche di sicurezza moderne. Aggiornamenti automatici, divulgazione responsabile, patching rapido, tutto buono e bello. Ma se il tuo strumento non raggiunge il tempo, diventi un rischio per la sicurezza.
Aggiornato al 25.01. Ora! Non domani.
IT 
DE 
EN 
ES 
FR