Dua celah keamanan baru ditemukan di 7-Zip dan berpotensi membahayakan pengguna Windows. Kedua celah ini memungkinkan penyerang menjalankan kode berbahaya hanya dengan membuat arsip ZIP berisi tautan simbolik yang dimodifikasi. Laporan ini diungkap oleh Zero Day Initiative (ZDI) milik Trend Micro pada 7 Oktober lalu.
Kerentanan ini tercatat dengan kode CVE-2025-11001 dan CVE-2025-11002. Keduanya berasal dari cara 7-Zip membaca tautan simbolik di dalam file ZIP. Jika arsip berisi tautan tersebut dibuka, sistem bisa tertipu dan menulis file ke lokasi lain di komputer. Dalam kondisi tertentu, hal itu memungkinkan peretas mengeksekusi perintah dengan hak akses pengguna yang sedang aktif. Nilai tingkat keparahan CVSS untuk keduanya mencapai 7,0, tergolong risiko tinggi.
Menurut penjelasan ZDI, eksploitasi dua bug ini membutuhkan interaksi pengguna. Namun, prosesnya tidak rumit. Hanya dengan membuka atau mengekstrak arsip berbahaya, pengguna sudah bisa menjadi korban. Setelah itu, bug yang disebut sebagai symlink traversal ini dapat menimpa file penting atau menanam muatan berbahaya. Hasilnya, peretas bisa mengendalikan sistem melalui celah tersebut.
ZDI mengkategorikan masalah ini sebagai directory traversal yang dapat berujung pada eksekusi kode jarak jauh. Artinya, siapa pun yang menggunakan versi lama 7-Zip tanpa pembaruan rentan terhadap serangan semacam ini.
Pengembang 7-Zip, Igor Pavlov, telah memperbaiki dua celah ini dalam versi 25.00 yang dirilis pada 5 Juli lalu. Versi ini juga menutup sejumlah masalah kecil lainnya, termasuk pada format arsip RAR dan COM. Versi stabil terbaru, 25.01, dirilis pada Agustus. Namun, rincian mengenai kerentanan baru ini baru dipublikasikan pekan ini melalui situs ZDI. Itu berarti banyak pengguna mungkin sudah berbulan-bulan menggunakan versi rentan tanpa menyadarinya.
Masalahnya, 7-Zip tidak memiliki sistem pembaruan otomatis. Pengguna harus memperbarui aplikasi secara manual dengan mengunduh installer dari situs resmi. Banyak pengguna masih memakai versi portabel lama yang tidak terpantau oleh sistem manajemen patch. Bahkan di lingkungan perusahaan, perangkat ini kerap terlewat karena tidak dipasang melalui Windows Installer atau repositori terpusat.
Kondisi seperti ini membuat perangkat lunak open-source seperti 7-Zip sering menjadi sasaran empuk. Meski gratis dan populer, kurangnya pembaruan rutin bisa membuka peluang serangan serius. Pengguna yang tidak memperbarui perangkat lunak mereka berisiko menjadi target malware yang memanfaatkan celah tersebut.
Ini bukan pertama kalinya 7-Zip menjadi sorotan karena masalah keamanan. Awal tahun ini, muncul pula celah lain dengan kode CVE-2025-0411. Bug tersebut memungkinkan pelaku kejahatan digital melewati proteksi Windows bernama Mark-of-the-Web. Dengan memanipulasi ZIP bersarang, mereka dapat menghapus tanda peringatan “dari internet” pada file yang diunduh. Celah ini baru ditambal di versi 24.09.
Untuk mencegah risiko serangan baru, pengguna disarankan segera memperbarui 7-Zip ke versi 25.01 atau lebih baru. Pembaruan ini bisa diunduh langsung dari situs resmi 7-Zip, dan proses instalasinya akan menggantikan versi lama tanpa mengubah preferensi pengguna.
Sambil menunggu pembaruan, langkah paling aman adalah menghindari membuka arsip ZIP dari sumber yang tidak jelas. Dengan begitu, risiko terkena eksploitasi akibat bug di 7-Zip bisa diminimalkan.
sumber: TrendMicro
