Fix 7-Zip dicht gaten die aanvallers malware op afstand lieten uitvoeren

In dit artikel:

Twee beveiligingslekken in de compressietool 7‑Zip (CVE‑2025‑11001 en CVE‑2025‑11002) maken het mogelijk dat aanvallers op afstand code uitvoeren op pc's zodra een gebruiker een speciaal geprepareerd zipbestand uitpakt. De fouten werden in mei verantwoord gemeld; in juli bracht 7‑Zip versie 25.00 uit die de problemen oplost, en nu is de gecoördineerde openbaarmaking voltooid. Trend Micro’s Zero Day Initiative deelt dat beide kwetsbaarheden een CVSS‑score van 7,0 krijgen, maar publiceert nog geen technische details en de officiële changelog noemt de issues niet expliciet. De zwakte zit in de manier waarop symbolische links in zip‑archieven worden verwerkt, waardoor een kwaadaardig archief misbruik kan maken van dat gedrag. Ontdekker Ryota Shiga van GMO Flatt Security vond de lekken met ondersteuning van de AI‑beveiligingstool Takumi San AI. Gebruikers wordt aangeraden zo snel mogelijk te updaten naar 7‑Zip 25.00 en voorzichtig te zijn met het uitpakken van onbekende of verdachte archives, aangezien het aanzetten van uitpakken al voldoende was voor misbruik.