ช่องโหว่ร้ายแรงใน 7-Zip ทำผู้ใช้เสี่ยงถูกแฮก อัปเดตเวอร์ด่วน!

มีรายงานพบช่องโหว่ความปลอดภัยร้ายแรงในโปรแกรมบีบอัดข้อมูลชื่อดังอย่าง 7-Zip ซึ่งเป็นช่องโหว่ความปลอดภัยร้ายแรงที่ผู้ไม่หวังดีสามารถลอบรันโค้ดจากระยะไกลได้ง่าย ๆ เพียงแค่หลอกให้ผู้ใช้เปิดไฟล์ ZIP ที่ถูกตั้งค่าไว้อย่างเจาะจง โดยช่องโหว่เหล่านี้ถูกแจ้งเมื่อวันที่ 7 ตุลาคม 2025 โดย Trend Micro’s Zero Day Initiative (ZDI) กระทบกับเวอร์ชันต่าง ๆ ของ 7-Zip แต่ช่องโหว่เหล่านี้ได้ถูกแก้ไขเงียบ ๆ ในเดือนกรกฎาคมที่ผ่านมา โดยไม่มีการแจ้งเตือนหรือประกาศอย่างชัดเจนสู่ผู้ใช้หรือสาธารณะในเวลานั้น ทำให้อาจมีผู้ใช้จำนวนมากตกอยู่ในความเสี่ยง

ช่องโหว่สำคัญสองรายการ คือ CVE-2025-11001 และ CVE-2025-11002 เกิดจากวิธีที่ 7-Zip ประมวลผล symbolic links ภายในไฟล์ ZIP แฮกเกอร์สามารถสร้างไฟล์ ZIP อันตรายที่ทำให้ไฟล์ถูกแยกออกไปอยู่นอกโฟลเดอร์ที่ผู้ใช้คาดหวัง เมื่อรวมกับเทคนิคอื่น ๆ อาจทำให้แฮกเกอร์รันโค้ดอันตรายบนเครื่องได้โดยใช้สิทธิ์เดียวกับผู้ใช้ที่เปิดไฟล์ โดยช่องโหว่ทั้งสองมีคะแนนความรุนแรง CVSS อยู่ที่ 7.0 ซึ่งถือว่าค่อนข้างสูง

ZDI ระบุว่าการโจมตีต้องการแค่ให้ผู้ใช้แค่เปิดหรือแตกไฟล์ ZIP ที่เป็นอันตรายเท่านั้น จากนั้นแฮกเกอร์ก็จะสามารถแทรกโค้ดแปลกปลอมและควบคุมระบบต่อได้

นักพัฒนา 7-Zip คือ Igor Pavlov ได้ออก 7-Zip เวอร์ชัน 25.00 ในวันที่ 5 กรกฎาคม 2025 เพื่อแก้ไขช่องโหว่ในการแตกไฟล์ .rar และ .com ก่อนที่เวอร์ชัน 25.01 จะออกในเดือนสิงหาคม อย่างไรก็ตามจนถึงตอนนี้รายละเอียดช่องโหว่เพิ่งถูกเปิดเผยสู่สาธารณะเท่านั้น หมายความว่าผู้ใช้ที่ยังไม่ได้อัปเดตตั้งแต่กลางปีนี้ทราบความเสี่ยงช้าและอาจตกเป็นเป้าหมายได้

นอกจากนี้ 7-Zip ไม่มีระบบอัปเดตอัตโนมัติ ผู้ใช้ต้องอัปเดตด้วยตนเอง ซึ่งทำให้หลายคนยังใช้งานเวอร์ชันเก่าโดยไม่รู้ตัว หรือใช้เวอร์ชันพกพาที่ไม่ได้ถูกตรวจสอบในองค์กรต่าง ๆ อีกทั้งยังไม่ค่อยถูกบรรจุอยู่ในระบบจัดการแพตช์ขององค์กร

เพื่อความปลอดภัย ผู้ใช้ควรดาวน์โหลด 7-Zip เวอร์ชัน 25.01 หรือเวอร์ชันใหม่กว่าเท่านั้นจากเว็บไซต์ทางการ โดยตัวติดตั้งจะทำการอัปเกรดแบบไม่ลบการตั้งค่าที่มีและควรหลีกเลี่ยงการแตกไฟล์ ZIP ที่ไม่น่าเชื่อถือจนกว่าจะอัปเดตแล้ว

ที่มา