bencede
New member
Popüler arşiv programı 7-Zip'teki bir güvenlik açığı, İnternet'ten indirilen dosyaların Web İşareti (MotW) işaretlemesini atlamasına olanak tanıyor. Amaç, saldırganların kötü amaçlı kod enjekte etmesine ve yürütmesine izin vermektir. 7-Zip kullanıcılarının kendilerini korumak için harekete geçmeleri ve mevcut güncellemeyi yüklemeleri gerekmektedir.
Duyuru
Sıfır Gün Girişimi (ZDI), bir güvenlik duyurusunda İnternet saldırganlarının MotW koruma mekanizmasını yenebileceğini ancak bunun, kötü amaçlı bir web sitesini ziyaret etmek veya kötü amaçlı bir dosyayı açmak gibi kullanıcı etkileşimi gerektirdiğini açıklıyor.
Dosyaları açarak kod kaçakçılığı
Hata, arşiv dosyalarının işlenmesini etkiler. 7-Zip, Web İşareti işaretini taşıyan özenle hazırlanmış arşivleri ayıklarken, bu MotW'yi sıkıştırılmış dosyalara aktarmaz. ZDI, saldırganların bu güvenlik açığından yararlanarak kullanıcılar bağlamında rastgele kod çalıştırabileceğini açıklıyor (CVE-2025-0411, CVSS) 7.0“Risk”yüksek“).
Hata geçen Ekim ayında bildirildi ve bilgiler şu anda koordineli bir şekilde yayınlanıyor. Güvenlik açığı, geçen yılın Kasım ayının sonlarından bu yana 7-Zip indirme sayfasından indirilebilen 7-Zip'in 24.09 veya üzeri sürümüyle kapatılıyor.
7-Zip sürümü iletişim kutusu, bilgisayarınızda programın hangi sürümünün çalıştığını gösterir. 24.09 veya daha yüksek olmalıdır.
(Resim: ekran görüntüsü / dmk)
7-Zip yerleşik bir güncelleme mekanizması içermediğinden, yazılımı kullananların kendi başlarına hareket etmeleri ve güncellenmiş sürümü indirip yüklemeleri gerekmektedir. Aksi halde sisteminiz bu yüksek riskli güvenlik açığına karşı savunmasız kalacaktır. 7-Zip dosya yöneticisinde, “Yardım” – “7-Zip Hakkında…” menüsünden bilgisayarınızda o anda hangi sürümün etkin olduğunu öğrenebilirsiniz.
Geçtiğimiz Kasım ayında, 7-Zip'te, manipüle edilmiş arşivler kullanılarak kötü amaçlı kodların yerleştirilmesine ve yürütülmesine de izin veren bir güvenlik kusuru öğrenildi. Bu, Zstandard arşivlerinin sıkıştırılması sırasında meydana gelebilecek bir tam sayı eksikliğidir ve bunun sonucunda belleğe kod yazılabilir.
(Bilmiyorum)
Duyuru
Sıfır Gün Girişimi (ZDI), bir güvenlik duyurusunda İnternet saldırganlarının MotW koruma mekanizmasını yenebileceğini ancak bunun, kötü amaçlı bir web sitesini ziyaret etmek veya kötü amaçlı bir dosyayı açmak gibi kullanıcı etkileşimi gerektirdiğini açıklıyor.
Dosyaları açarak kod kaçakçılığı
Hata, arşiv dosyalarının işlenmesini etkiler. 7-Zip, Web İşareti işaretini taşıyan özenle hazırlanmış arşivleri ayıklarken, bu MotW'yi sıkıştırılmış dosyalara aktarmaz. ZDI, saldırganların bu güvenlik açığından yararlanarak kullanıcılar bağlamında rastgele kod çalıştırabileceğini açıklıyor (CVE-2025-0411, CVSS) 7.0“Risk”yüksek“).
Hata geçen Ekim ayında bildirildi ve bilgiler şu anda koordineli bir şekilde yayınlanıyor. Güvenlik açığı, geçen yılın Kasım ayının sonlarından bu yana 7-Zip indirme sayfasından indirilebilen 7-Zip'in 24.09 veya üzeri sürümüyle kapatılıyor.
7-Zip sürümü iletişim kutusu, bilgisayarınızda programın hangi sürümünün çalıştığını gösterir. 24.09 veya daha yüksek olmalıdır.
(Resim: ekran görüntüsü / dmk)
7-Zip yerleşik bir güncelleme mekanizması içermediğinden, yazılımı kullananların kendi başlarına hareket etmeleri ve güncellenmiş sürümü indirip yüklemeleri gerekmektedir. Aksi halde sisteminiz bu yüksek riskli güvenlik açığına karşı savunmasız kalacaktır. 7-Zip dosya yöneticisinde, “Yardım” – “7-Zip Hakkında…” menüsünden bilgisayarınızda o anda hangi sürümün etkin olduğunu öğrenebilirsiniz.
Geçtiğimiz Kasım ayında, 7-Zip'te, manipüle edilmiş arşivler kullanılarak kötü amaçlı kodların yerleştirilmesine ve yürütülmesine de izin veren bir güvenlik kusuru öğrenildi. Bu, Zstandard arşivlerinin sıkıştırılması sırasında meydana gelebilecek bir tam sayı eksikliğidir ve bunun sonucunda belleğe kod yazılabilir.
(Bilmiyorum)