7-Zip kritik güvenlik açığı: yüz milyonlarca sistemi etkiliyor, hemen güncelleyin
Dünyanın en yaygın ücretsiz sıkıştırma programı 7-Zip'te kritik güvenlik açığı bulundu. KOBİ, kamu ve bireysel kullanıcılar için derhal güncelleme şart. Açığın detayları ve adımlar.

Açık kaynak sıkıştırma programı 7-Zip'te kritik bir güvenlik açığı keşfedildi. Açıktan etkilenen sistem sayısının yüz milyonların üzerinde olduğu raporlanıyor. 7-Zip; Windows kullanıcılarının çoğunluğunun varsayılan veya yedek sıkıştırma aracı. Yıllardır yaygın olarak kullanıldığı için neredeyse her şirkette, evde ve sunucuda yüklü durumda. Bu yüzden tek bir açık → milyonlarca sistemde aynı anda kullanılabilir. KOBİ'ler, kamu kurumları ve bireysel kullanıcılar için acil patch uygulanması gerekiyor.
Hızlı bakış
| Konu | Detay |
|---|---|
| Etkilenen yazılım | 7-Zip (tüm Windows sürümleri) |
| Etkilenen sistem sayısı | Yüz milyonların üzerinde (tahmini) |
| Risk türü | Kötü amaçlı dosya açımıyla uzaktan kod yürütme |
| Tetikleyici | Manipüle edilmiş .7z, .zip, .rar arşiv dosyası |
| Güvenli sürüm | 7-Zip 24+ ve sonrası |
| Eski riskli sürüm | 16.04 öncesi tüm sürümler |
| Acil eylem | En güncel sürüme geçiş |
| Resmi indirme | 7-zip.org |
| Korumalı sektör | Kurumsal IT, KOBİ, kamu, ev kullanıcısı |
Risk neden bu kadar büyük?
7-Zip; Windows kullanıcılarının çoğunluğunun varsayılan veya yedek sıkıştırma aracı. Yıllardır yaygın olarak kullanıldığı için neredeyse her şirkette, evde ve sunucuda yüklü durumda. Bu yüzden:
1. Tek bir açık → milyonlarca sistemde aynı anda kullanılabilir, özellikle yamasız sistemler için risk akut.
2. E-posta ile gönderilen kötü amaçlı .7z veya .zip dosyaları → açma anında saldırı tetikleyebilir, phishing kampanyalarının silah haline geliyor.
3. Sunucularda otomatik arşiv işleme pipeline'ı varsa risk daha büyük, log toplama, yedekleme, dosya transferi gibi otomatik süreçler kötü amaçlı arşivi farkında olmadan açabilir.
4. Tedarik zinciri riski, yazılım dağıtımında 7-Zip ile paketlenmiş kurulum dosyaları yaygın. Bir geliştirici makinesi etkilenirse, ürettiği yazılım de risk taşır.
Anthropic Project Glasswing yazımda ele aldığım gibi açık kaynak yazılımdaki bir açığın etki alanı katlanarak büyüyor. 7-Zip de bu kategoriye giriyor.
Tarihsel benzer örnekler
7-Zip'in güvenlik geçmişi tamamen temiz değil:
- CVE-2018-10115, uzaktan kod yürütme
- CVE-2022-29072, privilege escalation (yetki yükseltme)
- CVE-2023-31102, out-of-bounds yazma
- 2025 açığı (CVE numarası henüz net), bu güncel olay
Ortak özellik: hepsi dosya açma esnasında tetikleniyor. Kullanıcı sadece .7z veya .zip dosyasına çift tıkladığında risk başlıyor.
Karşılaştırma için WinRAR, WinZip gibi rakip ürünler:
- WinRAR, açık kaynak değil, ücretli, daha düzenli güvenlik denetimi
- WinZip, kurumsal odaklı, daha sıkı güncelleme yönetimi
- PeaZip, açık kaynak alternatif, küçük kullanıcı tabanı
- Bandizip, ücretsiz, popüler Asya pazarında
Hemen yapılacaklar
1. En güncel sürümü indirin
https://www.7-zip.org/ adresinden en güncel sürüm indirilmeli. Mevcut sürümünüzü kontrol için:
- 7-Zip File Manager açın
- Help → About 7-Zip
- Sürüm numarasını görün, 24.x veya daha eski sürümler güvensiz
2. Bilinmeyen kaynaklardan gelen arşiv dosyalarına şüpheyle yaklaşın
- E-postada beklenmedik arşiv eki geldiyse → açmadan önce gönderici kimliğini doğrulayın
- WhatsApp, Telegram gibi mesajlaşma uygulamalarından gelen
.zip,.rardosyaları → kaynak güvenilir mi? - Tanımadığınız web sitelerinden indirdiğiniz arşivler → antivirüs taraması zorunlu
3. Kurumsal IT ekipleri için: Software Center üzerinden toplu güncelleme
Büyük organizasyonlar için manuel güncelleme uygulanamaz. SCCM (Microsoft Endpoint Configuration Manager) veya alternatif yazılım dağıtım araçlarıyla:
- 7-Zip yamasını paketleyin
- Tüm endpoint cihazlara push edin
- Güncelleme durumunu raporlayın
- Eski sürümlü cihazları izole edin
CertiK CEO AI ajan güvenlik uyarısı yazımda ele aldığım Zero Trust mimarisi prensibi burada geçerli, sandbox, en düşük yetki, denetim logu uygulanmalı.
Türkiye için pratik etki
Çoğu Türk işletmesi 7-Zip'i ücretsiz tercih ettiği için bu açık özellikle KOBİ'leri etkiliyor. SOC ekipleri ve sistem yöneticileri için acil patch önceliği. Hedef gruplar:
KOBİ (Küçük ve Orta Boy İşletme):
- Türkiye'de 3.5 milyondan fazla KOBİ var
- Çoğunda profesyonel IT departmanı yok
- Muhasebe, fatura, müşteri belgeleri için arşiv kullanımı yaygın
- Hedeflenmiş phishing kampanyaları bu segmenti vurabilir
Kamu kurumları:
- Bakanlıklar, belediyeler, üniversiteler
- Açık kaynak yazılım tercihi yaygın
- BTK uyumlu güvenlik protokolleri gerekli
- TÜBİTAK BİLGEM önerileri takip ediliyor
Bireysel kullanıcı:
- Sıradan ev kullanıcısı 7-Zip'i Windows ile birlikte yıllardır kullanıyor
- Otomatik güncelleme yok, manuel kontrol şart
Bankacılık ve sigorta:
- Düzenli SOC denetimleri var, hızlı yamalanır
- Müşteri makinelerinde 7-Zip varsa eğitim materyalleri ile uyarı gönderilebilir
SOC ekipleri için kontrol listesi
Kurumsal SOC ekipleri için somut adımlar:
- Tüm endpoint'lerde 7-Zip sürüm envanteri
- Güncel olmayan tüm cihazlar tanımlanması
- Patch dağıtım planı (öncelik: kritik sistemler)
- Email gateway'lerde arşiv dosyası taraması artırılması
- EDR/XDR çözümlerinde 7-Zip ilgili davranış izlenmesi
- Kullanıcı farkındalık iletişimi
- Olay yanıt planının (IRP) gözden geçirilmesi
- Threat intelligence beslemelerinin takibi
Microsoft güvenlik araştırmacısı tartışması bağlamı
Microsoft güvenlik araştırmacısını tehdit etti yazımda ele aldığım Nightmare Eclipse tartışması bu olayla bağlantılı. Sorumlu açıklama (responsible disclosure) kültürünün korunması, 7-Zip gibi açıkların yamalanmadan kamuya duyurulmadan önce hak sahibine bildirilmesini sağlar. Microsoft tarafının sertleşip yumuşaması bu çerçeveyi etkiliyordu.
7-Zip kapatmanın bu örneğinde koordineli açıklama süreci doğru ilerlemiş, yama önce çıktı, açıklama sonra geldi.
Açık kaynak güvenlik konusu büyüyor
Bu olay tek başına bir 7-Zip krizi değil; açık kaynak güvenliğinin yapısal sorunlarını sergiliyor. Milyarlarca cihaz birkaç temel açık kaynak kütüphanesine bağımlı. Bu kütüphaneler genelde gönüllü mühendisler tarafından sürdürülüyor; güvenlik denetimi sınırlı.
Çözüm yönleri:
- Devlet ve büyük şirket fonlaması (OpenSSF gibi)
- AI destekli güvenlik tarama (Project Glasswing gibi)
- Otomatik güncelleme mekanizmaları (popüler açık kaynak araçlarda)
- Kurumsal sorumlu açıklama kültürünün güçlendirilmesi
7-Zip olayı ders niteliğinde. Türk kurumlarının açık kaynak yazılım bağımlılığını analiz etmesi, kritik kütüphaneler için proaktif izleme yapması artık ihmal edilemez konular.
Kaynak: DonanımHaber
Haftalık özet bültenimize katıl
Teknoloji, yapay zeka, kripto ve borsadaki haftanın özetini Pazar sabahı e-postana gönderelim. Spam yok.