Fix 7-Zip dicht gaten die aanvallers malware op afstand lieten uitvoeren

De huidige versie van compressietool 7-Zip dicht twee kwetsbaarheden waarmee kwaadwillenden op afstand malware konden uitvoeren op pc's van gebruikers. Speciaal aangemaakte zipbestanden gaven aanvallers een ingang.

Deze kwetsbaarheden zijn in mei dit jaar verantwoord gemeld bij de makers van 7-Zip. In juli is versie 25.00 uitgebracht, die deze beveiligingsproblemen verhelpt, en nu volgt de gecoördineerde openbaarmaking van deze kwestie. Details over CVE-2025-11001 en CVE-2025-11002 zijn nu nog niet onthuld en worden ook niet genoemd in de changelog voor versies van 7-Zip.

Het Zero Day Initiative (ZDI) van securityleverancier Trend Micro meldt nu wel dat het gaat om kwetsbaarheden met een score van 7,0 op de schaal van het Common Vulnerability Scoring System (CVSS). Beide kwetsbaarheden geven aanvallers de mogelijkheid om via een speciaal aangemaakt zipbestand eigen code uit te voeren op computers met een kwetsbare versie van 7-Zip. Hiervoor was het alleen nodig dat gebruikers zo'n gemanipuleerd zipbestand uitpakten.

De oorzaak van dit beveiligingsprobleem zit in de afhandeling van symbolic links in zipbestanden. Ontdekker Ryota Shiga van GMO Flatt Security heeft deze kwetsbaarheden gevonden met hulp van AI-beveiligingstool Takumi San AI.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Jasper Bakker

Nieuwsredacteur

Feedback • 13-10-2025 15:36
41 • submitter: Anonymoussaurus

13-10-2025 • 15:36

Submitter: Anonymoussaurus

Lees meer

Windows-versie 7-Zip heeft ondersteuning voor meer dan 64 threads

Windows-versie 7-Zip heeft ondersteuning voor meer dan 64 threads Nieuws van 7 juli 2025

Aanvallers gebruiken samengevoegde zipbestanden om malware te verspreiden

Aanvallers gebruiken samengevoegde zipbestanden om malware te verspreiden Nieuws van 12 november 2024

Ontwikkelaar 7-Zip brengt Linux-versie uit

Ontwikkelaar 7-Zip brengt Linux-versie uit Nieuws van 12 maart 2021

Netwerk en systeembeheer Software development Politiek en recht Cybersecurity Malware Security Vulnerability

IT-banen

Meer vacatures

Reacties (41)

41

41

21

2

0

16

Wijzig sortering

JohanNL 13 oktober 2025 15:44

Wordt 7-zip nog veel gebruikt? Dacht dat de meesten gewoon de ingebouwde functionaliteit gebruiken van Windows en Winrar voor .rar bestanden.

@JohanNL • 13 oktober 2025 16:22

Persoonlijk vind ik de context menu's extract to "*\" waarbij er een folder wordt aangemaakt met dezelfde naam als de zipfile. En dit werkt ook als je in een keer meerdere zip archieven wilt extraheren, meerdere folders worden dan aangemaakt. Ik geloof niet dat de ingebouwde versie van Windows dat ondersteund.

Verder kan deze ook bijvoorbeeld iso files en dsk images uitpakken (vhd en ntfs worden ook ondersteund), wat bij mijn retro computers soms erg handig kan zijn. Ook sommige setup files kun je openen en de bestanden eruit halen, wat ik wel eens heb gebruikt om driver files uit een setup bestand te krijgen die niet wilde installeren op een nieuwere versie van Windows. Er zullen vast andere en betere tools zijn, maar ik ben wel tevreden met 7-zip.

@JohanNL • 13 oktober 2025 18:33

en Winrar voor .rar bestanden.

Ook dat hoeft niet meer. Windows 11 heeft (sinds 2023) ingebouwde ondersteuning voor .rar-bestanden (en ook .7z- en .tar-bestanden). Dit betekent dat vrijwel alle bekende en populaire compressieformaten (dus te weten .zip, .rar, .7zip en .tar) door Windows te lezen én (minus .rar) te maken zijn.

Wel zijn de functionaliteiten in Windows basaal en bieden vrijwel alle "compressiemanagers" (zoals Winrar, 7-Zip, WinZip, etc) extra functionaliteiten. Niet in de laatste plaats omdat de ingebouwde ondersteuning voor .zip best wel flink achterliep qua moderne functies en bv AES-encryptie. Ook dat is inmiddels weer bijgewerkt naar huidige standaarden.

Voor de gewone gebruiker zal het in de dagelijkse praktijk meer dan genoeg zijn.

Zie ook:

Klik maar eens met de rechtermuisknop op een bestand > comprimeren > meer opties. Je zult mogelijk versteld staan van wat tegenwoordig zonder extra tooling mogelijk is.

[Reactie gewijzigd door Eagle Creek op 13 oktober 2025 18:37]

OruBLMsFrl @Eagle Creek • 13 oktober 2025 19:29

Niet in de laatste plaats omdat de ingebouwde ondersteuning voor .zip best wel flink achterliep qua moderne functies en bv AES-encryptie. Ook dat is inmiddels weer bijgewerkt naar huidige standaarden.

Je kunt in Windows 11 24h2 althans, zo te zien niet eens een .zip bestand of 7zip bestand maken dat met een wachtwoord beschermd is. Dat wil zeggen dat zonder aanvullende encryptie, iedere dienst waar je dat bestand mee verstuurt, welke niet zelf al end-to-end encrypted is, de inhoud kan meelezen. Misschien mis ik iets, of is in de hagelnieuwe 25h2 Windows 11 versie eindelijk wel password protected zip mogelijk?

Navi @JohanNL • 13 oktober 2025 15:49

Volgens mij is zip via Windows single threaded, en mist veel functies zoals compressieniveau, encryptie etc.

Anonymoussaurus

Security

@Navi • 13 oktober 2025 15:52

Compressieniveau wordt wel degelijk ondersteund, maar encryptie inderdaad niet: https://tweakers.net/fotoalbum/image/hsirdrRTRL6lzjyfhErqayiI.png

Gismo1979 @Navi • 13 oktober 2025 15:59

Als ik onder verkenner een aantal bestanden wil toevoegen aan een archief-bestand middels 7-zip dan kan ik de volgende o.a. instellingen kiezen: Compressieniveau, Compressiemethode, aantal CPU-Threads en een versleuteling.

Als ik dit zo zie dan missen de functies die jij benoemd niet in 7-Zip in de huidige versie.

Sorry my bad, heb je tekst verkeerd gelezen. Je hebt het over de zipfunctie van windows en niet van 7-zip.

[Reactie gewijzigd door Gismo1979 op 13 oktober 2025 16:30]

curkey @JohanNL • 13 oktober 2025 16:58

Ik gebruik Peazip, een gratis en volgens mij zelfs open source tooltje. Werkt vele malen fijner en kent veel meer formaten. Geen mag screens en als portable app ook beschikbaar.

WinRAR gebruik ik echt al jaren niet meer.

zalazar @curkey • 13 oktober 2025 17:57

PeaZip werkt inderdaad prima en is er ook voor Linux en macOS.
Dat 7-Zip geen Linux GUI versie aanbied is wel een minpunt vind ik.

bartvincke @JohanNL • 13 oktober 2025 15:48

Winrar is betalend, 7zip is gratis, ook commercieel

En momenteel is de ingebouwde zip functionaliteit van windows nog heel beperkt, al dacht ik gelezen te hebben dat de insider builds daar nu extra features bijkrijgen

Visgek82 @bartvincke • 13 oktober 2025 16:55

Winrar is prima gratis te gebruiken.

drdelta @Visgek82 • 13 oktober 2025 17:16

Maar niet zonder de gebruikslicentie te overtreden:

The software is distributed as try before you buy. This means that anyone may use the software during a test period of a maximum of 40 days at no charge. Following this test period, the user must purchase a license to continue using the software.

Visgek82 @drdelta • 13 oktober 2025 17:27

Ik heb een licentie. Meeste houden zich daar toch niet aan.

Anonymoussaurus

Security

@JohanNL • 13 oktober 2025 15:46

Wat ik heb begrepen is dat 7-Zip een stuk meer functies ondersteunt dan Windows. Windows ondersteunt wel de formaten van 7-Zip maar nog niet alle features. Daarnaast is de native feature in Explorer trager: https://www.reddit.com/r/windows/comments/1jfy5zv/windows_explorer_vs_7zip_performance/.

Je kan bijvoorbeeld wel compressieniveau instellen, maar geen password of andere geavanceerde opties, zie https://tweakers.net/fotoalbum/image/hsirdrRTRL6lzjyfhErqayiI.png.

[Reactie gewijzigd door Anonymoussaurus op 13 oktober 2025 15:52]

bapemania @Anonymoussaurus • 13 oktober 2025 15:54

Door ProtonDrive gezipte bestanden vanaf een bepaalde grootte kan Windows Verkenner ook niet openen, dan moet je 7zip (ms werken winzip en winrar ook) hebben.

xenn99 @Anonymoussaurus • 13 oktober 2025 16:10

Multi part 7zip files werken volgens mij ook niet native in Windows, althans de laatste keer dat ik het getest heb.
(degene met .001 .002 .003 als extensie)
Dat wordt redelijk vaak gebruikt en daardoor is de native functie in ieder geval voor mij niet nuttig.

7zip is ook een mooi lichtgewicht programma dus ik zou iedereen die gewoon aanraden.

Ge Someone @xenn99 • 13 oktober 2025 17:18

Inderdaad, hetzelfde geldt voor multipart rar bestanden. Net zoals de genoemde encryptie (wachtwoord op het bestand) niet werkt. 7-zip is een goed alternatief voor bijvoorbeeld WinRaR.

dasiro @xenn99 • 13 oktober 2025 17:23

"redelijk vaak" in een welbepaalde niet-professionele scene en dat is dan eerder uit nostalgie dan uit noodzaak

TVL @JohanNL • 13 oktober 2025 15:49

7-Zip is juist heel handig om een Zip file te beveiligen met encryptie. En zo zijn er nog wel wat meer dingen die je kan doen die de ingebouwde functionaliteit niet heeft. Zoals bijvoorbeeld de snelheid van 7-zip

[Reactie gewijzigd door TVL op 13 oktober 2025 15:51]

Tim_O @JohanNL • 13 oktober 2025 16:19

Andersom de vraag, installeren mensen nog echt Winrar of laten ze het erop staan omdat het er al op staat?

freshy98 @Tim_O • 13 oktober 2025 16:39

Ja, ik installeer het omdat ik het context menu deel fijn vind werken.
Nooit een behoefte gehad om 7ZIP te gebruiken.

drdelta @freshy98 • 13 oktober 2025 17:42

7-Zip biedt een vergelijkbaar context menu, en mag je gratis gebruiken. Voor mij een goede reden geen WinRar meer te gebruiken.

freshy98 @drdelta • 13 oktober 2025 19:51

Ik heb WinRAR nooit gekocht, en de popup wegklikken is ook geen ramp, en bij het context menu heb je er geen last van.

SiGNe @JohanNL • 13 oktober 2025 17:00

Met 7zip kan je ook rar uitpakken en gewoon zip werkt ook beter/sneller.
Het is voor mij de go-to tool omdat het alles in 1 is, rar, zip maar ook 7z

Caldera @JohanNL • 13 oktober 2025 18:09

Ik had het nodig voor mods, vaak worden die nog wel zipped met .7z

gigi71 @JohanNL • 13 oktober 2025 15:54

Ik gebruik 7-zip voornamelijk voor de ingebouwde encryptie. Je kunt met 7-zip bv. ook de bestandsnamen coderen. Ik wissel niets uit via bv. publieke diensten zonder volledig gecodeerd te zijn.

Pablo @JohanNL • 13 oktober 2025 16:00

wordt heel veel gebruikt.
Zeker voor de combinatie van encrypten en compressen

phoenix2149 @JohanNL • 13 oktober 2025 16:29

Ik gebruik het dagelijks. De windows tool heeft dat niet en als je bestanden van een aantal GB moet versturen scheelt het toch.

Borgia @JohanNL • 13 oktober 2025 16:35

Ik gebruik WinRAR om backups te maken van mijn game server files (bijv Valheim worlds). Lekker makkelijk in backup scripts die om de zoveel tijd gerund worden. Zo ver ik weet heeft de compressie app van Windows geen commandline tool, of vergis ik mij? 7Zip kan ook voor zulke doeleinden gebruikt worden. Met handige schakelopties zoals alleen veranderde bestanden meenemen etc.

kuurtjes 13 oktober 2025 15:55

[quote]waarmee kwaadwillenden op afstand malware konden uitvoeren[/quote]

Dit vind ik niet echt juist. Een RCE is juist "remote" omdat het geen gebruikersinteractie vereist. De term is nogal verwaterd spijtig genoeg. Ondertussen gebruiken sommige cybersecurity researchers het ook voor lokale software exploits, maar dan kan je bijna alle malware die een exploit misbruikt wel remote gaan noemen.

https://www.crowdstrike.com/en-us/cybersecurity-101/cyberattacks/remote-code-execution/

freshy98 @kuurtjes • 13 oktober 2025 16:40

Dank je wel. Vroeg mij al af waarom een tool als 7ZIP op afstand beheert zou moeten kunnen worden.

Malware

@kuurtjes • 13 oktober 2025 16:43

Stond hier ook even te kijken. Voor RCE heb je toch een server-component nodig.

Of gaat 7-zip automatisch bestanden uitpakken ofzo?

TVL 13 oktober 2025 15:42

Bij mij op het werk werd je ook gewaarschuwd voor versie 25.0

Op de site van 7zip zijn ze bij versie 25.01 die al op 25 augustus is uitgebracht.

HISTORY of the 7-Zip -------------------- 25.01 2025-08-03 ------------------------- - CVE-2025-55188 : The code for handling symbolic links has been changed to provide greater security when extracting files from archives. Command line switch -snld20 can be used to bypass default security checks when creating symbolic links.

[Reactie gewijzigd door TVL op 13 oktober 2025 15:44]

Anonymoussaurus

Security

@TVL • 13 oktober 2025 15:44

Inderdaad, wat Tweakers zegt klopt niet helemaal. De fix is niet geïmplementeerd in 25.01, zoals deze zin impliceert:

De huidige versie van compressietool 7-Zip dicht twee kwetsbaarheden waarmee kwaadwillenden op afstand malware konden uitvoeren op pc's van gebruikers.

De huidige versie is namelijk 25.01, niet 25.00 (die deze fix bevat).

patathome @Anonymoussaurus • 13 oktober 2025 15:49

25.1.0 bedoel je denk ik?

Anonymoussaurus

Security

@patathome • 13 oktober 2025 15:50

Nee, 25.01: https://7-zip.org/history.txt

rubenvb @Anonymoussaurus • 13 oktober 2025 16:45

Toch leuk die ad hoc versioning.

Mizgala28 @Anonymoussaurus • 13 oktober 2025 16:30

Meteen maar geüpdatet naar 25.01, blijkbaar had ik nog 24.04 op mijn systeem.

BrainCrash @Anonymoussaurus • 13 oktober 2025 16:49

Ja, maar goed, de huidige versie 25.01 bevat dan natuurlijk óók nog steeds de fixen die in 25.00 gedaan zijn. Ze gaan natuurlijk niet in 25.01 de fixen verwijderen die in 25.00 toegevoegd zijn.
Dus technisch gezien is wat Tweakers zegt wel degelijk correct; In de huidige versie zijn die twee genoemde kwestbaarheden (nog steeds) gedicht, en als je de huidige versie gebruikt, dan zit je dus goed.
Dat die fix ook al in 25.00 van een maand eerder zat maakt de opmerking over de huidige versie niet minder waar natuurlijk.

[Reactie gewijzigd door BrainCrash op 13 oktober 2025 16:50]

13 oktober 2025 18:12

Nanazip en Peazip (forks) hebben hier wellicht ook last van.

Rob Wu 13 oktober 2025 18:54

Dit artikel gaat over CVE-2025-11001 en CVE-2025-11002, wat opgelost is in 25.00, "fixed some bugs and vulnerabilities." (https://github.com/ip7z/7zip/releases/tag/25.00)

Vlak daarna is 25.01 uitgekomen die nog een probleem verhelpt: CVE-2025-55188. Het grappige hierbij is dat deze werd gevonden tijdens een CTF, maar niet als bedoelde oplossing: https://lunbun.dev/blog/cve-2025-55188/

Er gaan heel veel nieuwsartikelen over de eerste twee kwetsbaarheden, maar de tweede heeft nauwelijks aandacht gekregen in het nieuws, terwijl deze wel een interessante write-up heeft.

Om te kunnen reageren moet je ingelogd zijn