Se usi 7-Zip è meglio aggiornare l’App

7-Zip torna al centro dell’attenzione per una vulnerabilità considerata molto seria, identificata come CVE-2026-48095. Il problema riguarda le versioni precedenti alla 26.01 e coinvolge il modo in cui il programma interpreta alcuni archivi e immagini disco NTFS. La criticità è stata valutata con un punteggio CVSS di 8.8, quindi piuttosto alto, dove il rischio principale è che un file preparato appositamente possa portare all’esecuzione di codice dannoso sul PC, senza passaggi particolarmente complessi.

La parte più delicata della vicenda riguarda il modo in cui 7-Zip analizza i file compressi. In alcuni casi, infatti, non serve nemmeno estrarre il contenuto dell’archivio, può bastare aprirlo per visualizzare l’elenco dei file presenti e il software potrebbe già trovarsi a gestire dati alterati. Un archivio apparentemente innocuo può quindi nascondere un’immagine NTFS modificata per sfruttare la falla, per questo motivo è meglio evitare file ricevuti da fonti sconosciute, soprattutto se arrivano via mail, chat o servizi di condivisione.

La forza di 7-Zip è sempre stata la capacità di gestire molti formati diversi, dai classici .zip e .rar fino agli archivi .7z e ad alcune immagini disco. Questa versatilità lo ha reso uno degli strumenti più usati su PC, server e ambienti professionali, in questo caso, però, proprio l’analisi profonda dei file diventa un punto sensibile. 7-Zip non si limita a leggere l’estensione, ma controlla il contenuto reale del file per capire come trattarlo. È una funzione utile, ma può rendere più insidiosi gli archivi creati per ingannare il programma.

La soluzione più semplice è installare subito 7-Zip 26.01 o una versione successiva. L’aggiornamento corregge il problema nel gestore degli archivi NTFS e riduce il rischio legato ai file manipolati. Chi usa 7-Zip solo ogni tanto potrebbe avere ancora una versione vecchia installata sul PC senza accorgersene. Per questo conviene aprire il programma, controllare la versione e scaricare l’ultima release dal sito ufficiale. Oltre a questo è sempre utile scegliere un buon antivirus tra i migliori in commercio, ma questo ormai lodiamo per scontato.   

La vulnerabilità non interessa soltanto chi usa 7-Zip manualmente dal desktop, anche molti programmi di terze parti integrano librerie o componenti collegati a 7-Zip per analizzare, decomprimere o controllare archivi. Tra questi possono esserci antivirus, strumenti di backup, file manager, piattaforme di analisi malware e sistemi automatici usati in azienda, del resto il rischio aumenta negli ambienti automatizzati, dove un archivio può essere processato senza intervento diretto. Anche alcuni sistemi Linux con pacchetti p7zip non aggiornati meritano attenzione, così come container Docker e pipeline CI/CD.

Un errore comune è pensare che la falla riguardi soltanto gli archivi con estensione .7z, in realtà il problema può coinvolgere anche file .zip, .rar o altri formati usati per mascherare contenuti diversi. Il punto critico è il modo in cui 7-Zip interpreta determinati dati NTFS e IMG presenti all’interno del file. La prudenza con gli allegati resta fondamentale, anche quando il nome del file sembra familiare o poco sospetto.

La prima cosa da fare è verificare la versione installata e procedere con l’aggiornamento. Dopo l’installazione, è consigliabile evitare archivi scaricati da siti poco affidabili o ricevuti da contatti non verificati. Nei contesti professionali, invece, conviene controllare anche strumenti di backup, antivirus, script e sistemi che usano 7-Zip in automatico. La falla è tecnica, ma la contromisura è molto pratica: aggiornare il software e trattare con cautela gli archivi compressi resta il modo più efficace per ridurre il rischio.