Foto di Arian Darvishi.

Una nuova vulnerabilità in 7‑Zip sta esponendo milioni di sistemi al rischio di esecuzione di codice malevolo semplicemente aprendo un archivio appositamente manipolato. Il bug, identificato come CVE‑2026‑48095, riguarda la gestione dei file immagine NTFS e può essere sfruttato tramite un overflow del buffer heap, rendendo necessario l'aggiornamento immediato alla versione 26.01 del software. La falla è stata scoperta ad aprile e segnalata privatamente al team di sviluppo. Il problema nasce da un errore nel calcolo delle dimensioni del buffer durante l'elaborazione di immagini NTFS contenute in un archivio.

Quando un file è costruito in modo malevolo, 7‑Zip alloca una quantità di memoria insufficiente, con la possibilità di sovrascrivere dati adiacenti nello heap. Questo comportamento può generare condizioni di memoria non definite e aprire la strada all'esecuzione di codice arbitrario. L'exploit si attiva non appena l'utente apre l'archivio contenente l'immagine NTFS manipolata. La vulnerabilità non richiede ulteriori interazioni e può portare a esiti diversi a seconda della piattaforma e della memoria disponibile: dall'esecuzione di codice remoto al semplice crash dell'applicazione o a un blocco del servizio.

La correzione è stata introdotta nella release 26.01, già distribuita circa trenta giorni fa. Le versioni precedenti restano esposte e non esistono mitigazioni alternative all'aggiornamento. La diffusione globale di 7‑Zip amplifica il rischio: il software è stato scaricato centinaia di milioni di volte e viene utilizzato anche tramite librerie e strumenti da riga di comando integrati in numerosi sistemi Windows e Linux.

Spunti di approfondimento:

Scarichi 7-Zip dal dominio sbagliato? Il tuo PC può diventare un nodo proxy...

7-Zip, due vulnerabilità critiche. L'applicazione va aggiornata manualm...

Windows 11 finalmente supporta gli archivi RAR

Seria falla in 7-Zip, la patch ancora non c'è