7-Zip kritik güvenlik açığı: yüz milyonlarca sistemi etkiliyor, hemen güncelleyin

Dünyanın en yaygın ücretsiz sıkıştırma programı 7-Zip'te kritik güvenlik açığı bulundu. KOBİ, kamu ve bireysel kullanıcılar için derhal güncelleme şart. Açığın detayları ve adımlar.

Kaan Dülgar · Kurucu ve Editör
7-Zip kritik güvenlik açığı: yüz milyonlarca sistemi etkiliyor, hemen güncelleyin

Açık kaynak sıkıştırma programı 7-Zip'te kritik bir güvenlik açığı keşfedildi. Açıktan etkilenen sistem sayısının yüz milyonların üzerinde olduğu raporlanıyor. 7-Zip; Windows kullanıcılarının çoğunluğunun varsayılan veya yedek sıkıştırma aracı. Yıllardır yaygın olarak kullanıldığı için neredeyse her şirkette, evde ve sunucuda yüklü durumda. Bu yüzden tek bir açık → milyonlarca sistemde aynı anda kullanılabilir. KOBİ'ler, kamu kurumları ve bireysel kullanıcılar için acil patch uygulanması gerekiyor.

Hızlı bakış

Konu Detay
Etkilenen yazılım 7-Zip (tüm Windows sürümleri)
Etkilenen sistem sayısı Yüz milyonların üzerinde (tahmini)
Risk türü Kötü amaçlı dosya açımıyla uzaktan kod yürütme
Tetikleyici Manipüle edilmiş .7z, .zip, .rar arşiv dosyası
Güvenli sürüm 7-Zip 24+ ve sonrası
Eski riskli sürüm 16.04 öncesi tüm sürümler
Acil eylem En güncel sürüme geçiş
Resmi indirme 7-zip.org
Korumalı sektör Kurumsal IT, KOBİ, kamu, ev kullanıcısı

Risk neden bu kadar büyük?

7-Zip; Windows kullanıcılarının çoğunluğunun varsayılan veya yedek sıkıştırma aracı. Yıllardır yaygın olarak kullanıldığı için neredeyse her şirkette, evde ve sunucuda yüklü durumda. Bu yüzden:

1. Tek bir açık → milyonlarca sistemde aynı anda kullanılabilir, özellikle yamasız sistemler için risk akut.

2. E-posta ile gönderilen kötü amaçlı .7z veya .zip dosyaları → açma anında saldırı tetikleyebilir, phishing kampanyalarının silah haline geliyor.

3. Sunucularda otomatik arşiv işleme pipeline'ı varsa risk daha büyük, log toplama, yedekleme, dosya transferi gibi otomatik süreçler kötü amaçlı arşivi farkında olmadan açabilir.

4. Tedarik zinciri riski, yazılım dağıtımında 7-Zip ile paketlenmiş kurulum dosyaları yaygın. Bir geliştirici makinesi etkilenirse, ürettiği yazılım de risk taşır.

Anthropic Project Glasswing yazımda ele aldığım gibi açık kaynak yazılımdaki bir açığın etki alanı katlanarak büyüyor. 7-Zip de bu kategoriye giriyor.

Tarihsel benzer örnekler

7-Zip'in güvenlik geçmişi tamamen temiz değil:

  • CVE-2018-10115, uzaktan kod yürütme
  • CVE-2022-29072, privilege escalation (yetki yükseltme)
  • CVE-2023-31102, out-of-bounds yazma
  • 2025 açığı (CVE numarası henüz net), bu güncel olay

Ortak özellik: hepsi dosya açma esnasında tetikleniyor. Kullanıcı sadece .7z veya .zip dosyasına çift tıkladığında risk başlıyor.

Karşılaştırma için WinRAR, WinZip gibi rakip ürünler:

  • WinRAR, açık kaynak değil, ücretli, daha düzenli güvenlik denetimi
  • WinZip, kurumsal odaklı, daha sıkı güncelleme yönetimi
  • PeaZip, açık kaynak alternatif, küçük kullanıcı tabanı
  • Bandizip, ücretsiz, popüler Asya pazarında

Hemen yapılacaklar

1. En güncel sürümü indirin

https://www.7-zip.org/ adresinden en güncel sürüm indirilmeli. Mevcut sürümünüzü kontrol için:

  • 7-Zip File Manager açın
  • Help → About 7-Zip
  • Sürüm numarasını görün, 24.x veya daha eski sürümler güvensiz

2. Bilinmeyen kaynaklardan gelen arşiv dosyalarına şüpheyle yaklaşın

  • E-postada beklenmedik arşiv eki geldiyse → açmadan önce gönderici kimliğini doğrulayın
  • WhatsApp, Telegram gibi mesajlaşma uygulamalarından gelen .zip, .rar dosyaları → kaynak güvenilir mi?
  • Tanımadığınız web sitelerinden indirdiğiniz arşivler → antivirüs taraması zorunlu

3. Kurumsal IT ekipleri için: Software Center üzerinden toplu güncelleme

Büyük organizasyonlar için manuel güncelleme uygulanamaz. SCCM (Microsoft Endpoint Configuration Manager) veya alternatif yazılım dağıtım araçlarıyla:

  • 7-Zip yamasını paketleyin
  • Tüm endpoint cihazlara push edin
  • Güncelleme durumunu raporlayın
  • Eski sürümlü cihazları izole edin

CertiK CEO AI ajan güvenlik uyarısı yazımda ele aldığım Zero Trust mimarisi prensibi burada geçerli, sandbox, en düşük yetki, denetim logu uygulanmalı.

Türkiye için pratik etki

Çoğu Türk işletmesi 7-Zip'i ücretsiz tercih ettiği için bu açık özellikle KOBİ'leri etkiliyor. SOC ekipleri ve sistem yöneticileri için acil patch önceliği. Hedef gruplar:

KOBİ (Küçük ve Orta Boy İşletme):

  • Türkiye'de 3.5 milyondan fazla KOBİ var
  • Çoğunda profesyonel IT departmanı yok
  • Muhasebe, fatura, müşteri belgeleri için arşiv kullanımı yaygın
  • Hedeflenmiş phishing kampanyaları bu segmenti vurabilir

Kamu kurumları:

  • Bakanlıklar, belediyeler, üniversiteler
  • Açık kaynak yazılım tercihi yaygın
  • BTK uyumlu güvenlik protokolleri gerekli
  • TÜBİTAK BİLGEM önerileri takip ediliyor

Bireysel kullanıcı:

  • Sıradan ev kullanıcısı 7-Zip'i Windows ile birlikte yıllardır kullanıyor
  • Otomatik güncelleme yok, manuel kontrol şart

Bankacılık ve sigorta:

  • Düzenli SOC denetimleri var, hızlı yamalanır
  • Müşteri makinelerinde 7-Zip varsa eğitim materyalleri ile uyarı gönderilebilir

SOC ekipleri için kontrol listesi

Kurumsal SOC ekipleri için somut adımlar:

  • Tüm endpoint'lerde 7-Zip sürüm envanteri
  • Güncel olmayan tüm cihazlar tanımlanması
  • Patch dağıtım planı (öncelik: kritik sistemler)
  • Email gateway'lerde arşiv dosyası taraması artırılması
  • EDR/XDR çözümlerinde 7-Zip ilgili davranış izlenmesi
  • Kullanıcı farkındalık iletişimi
  • Olay yanıt planının (IRP) gözden geçirilmesi
  • Threat intelligence beslemelerinin takibi

Microsoft güvenlik araştırmacısı tartışması bağlamı

Microsoft güvenlik araştırmacısını tehdit etti yazımda ele aldığım Nightmare Eclipse tartışması bu olayla bağlantılı. Sorumlu açıklama (responsible disclosure) kültürünün korunması, 7-Zip gibi açıkların yamalanmadan kamuya duyurulmadan önce hak sahibine bildirilmesini sağlar. Microsoft tarafının sertleşip yumuşaması bu çerçeveyi etkiliyordu.

7-Zip kapatmanın bu örneğinde koordineli açıklama süreci doğru ilerlemiş, yama önce çıktı, açıklama sonra geldi.

Açık kaynak güvenlik konusu büyüyor

Bu olay tek başına bir 7-Zip krizi değil; açık kaynak güvenliğinin yapısal sorunlarını sergiliyor. Milyarlarca cihaz birkaç temel açık kaynak kütüphanesine bağımlı. Bu kütüphaneler genelde gönüllü mühendisler tarafından sürdürülüyor; güvenlik denetimi sınırlı.

Çözüm yönleri:

  • Devlet ve büyük şirket fonlaması (OpenSSF gibi)
  • AI destekli güvenlik tarama (Project Glasswing gibi)
  • Otomatik güncelleme mekanizmaları (popüler açık kaynak araçlarda)
  • Kurumsal sorumlu açıklama kültürünün güçlendirilmesi

7-Zip olayı ders niteliğinde. Türk kurumlarının açık kaynak yazılım bağımlılığını analiz etmesi, kritik kütüphaneler için proaktif izleme yapması artık ihmal edilemez konular.

Kaynak: DonanımHaber

Haftalık özet bültenimize katıl

Teknoloji, yapay zeka, kripto ve borsadaki haftanın özetini Pazar sabahı e-postana gönderelim. Spam yok.