Bayangkan ini: Anda baru saja mengunduh file ZIP dari internet, mungkin lampiran email atau dari forum daring. Dengan percaya diri, Anda membukanya menggunakan 7-Zip, aplikasi andalan untuk membuka arsip. Tanpa disadari, tindakan rutin itu telah membuka pintu bagi penyerang untuk mengambil alih komputer Anda. Ini bukan skenario fiksi, melainkan ancaman nyata dari dua celah keamanan kritis yang baru saja terungkap dalam perangkat lunak populer tersebut.

Dunia keamanan siber kembali diguncang oleh temuan Zero Day Initiative (ZDI) milik Trend Micro pada 7 Oktober lalu. Dua kerentanan berbahaya ditemukan bersemayam di dalam 7-Zip, aplikasi kompresi file yang digunakan oleh jutaan pengguna Windows di seluruh dunia. Kedua celah ini, yang tercatat dengan kode CVE-2025-11001 dan CVE-2025-11002, memanfaatkan cara 7-Zip membaca tautan simbolik di dalam file ZIP. Nilai tingkat keparahan CVSS untuk keduanya mencapai 7,0—sebuah angka yang tergolong risiko tinggi dalam standar keamanan siber.

Lalu, bagaimana sebenarnya mekanisme serangan ini bekerja, dan mengapa Anda perlu segera mengambil tindakan? Mari kita selami lebih dalam ancaman yang bisa mengintai di balik file ZIP yang tampaknya tidak berbahaya.

Inti dari kedua kerentanan ini terletak pada apa yang disebut sebagai "symlink traversal" atau pelintasan tautan simbolik. Dalam dunia komputasi, tautan simbolik ibarat pintu pintas yang mengarah ke file atau folder lain di sistem. Penyerang dapat memanipulasi mekanisme ini dengan membuat arsip ZIP berisi tautan simbolik yang dimodifikasi secara khusus.

Ketika Anda membuka atau mengekstrak arsip berbahaya tersebut, sistem bisa tertipu dan menulis file ke lokasi lain di komputer yang seharusnya tidak boleh diakses. Dalam kondisi tertentu, trik ini memungkinkan peretas mengeksekusi perintah dengan hak akses pengguna yang sedang aktif. ZDI mengkategorikan masalah ini sebagai directory traversal yang dapat berujung pada eksekusi kode jarak jauh—salah satu skenario terburuk dalam keamanan siber.

Yang membuatnya semakin mengkhawatirkan adalah kemudahan eksploitasi. Menurut penjelasan ZDI, meskipun eksploitasi dua bug ini membutuhkan interaksi pengguna, prosesnya tidak rumit. Hanya dengan membuka atau mengekstrak arsip berbahaya, pengguna sudah bisa menjadi korban. Setelah itu, bug tersebut dapat menimpa file penting atau menanam muatan berbahaya, memberikan kendali sistem kepada penyerang.

Ironisnya, meskipun laporan ZDI baru dipublikasikan pekan ini, pengembang 7-Zip, Igor Pavlov, sebenarnya telah memperbaiki dua celah ini dalam versi 25.00 yang dirilis pada 5 Juli lalu. Versi ini juga menutup sejumlah masalah kecil lainnya, termasuk pada format arsip RAR dan COM. Versi stabil terbaru, 25.01, bahkan sudah dirilis pada Agustus.

Artinya, banyak pengguna mungkin sudah berbulan-bulan menggunakan versi rentan tanpa menyadarinya. Keterlambatan publikasi detail kerentanan ini menciptakan jendela kerentanan yang cukup panjang—periode dimana penyerang potensial bisa mempelajari dan mengembangkan exploit sementara banyak korban potensial masih lengah.

Masalahnya diperparah oleh fakta bahwa 7-Zip tidak memiliki sistem pembaruan otomatis. Pengguna harus memperbarui aplikasi secara manual dengan mengunduh installer dari situs resmi. Banyak pengguna masih memakai versi portabel lama yang tidak terpantau oleh sistem manajemen patch. Bahkan di lingkungan perusahaan, perangkat ini kerap terlewat karena tidak dipasang melalui Windows Installer atau repositori terpusat.

Kondisi seperti ini menyoroti dilema dalam ekosistem perangkat lunak open-source seperti 7-Zip. Meski gratis dan populer, kurangnya mekanisme pembaruan rutin bisa membuka peluang serangan serius. Pengguna yang tidak memperbarui perangkat lunak mereka berisiko menjadi target malware yang memanfaatkan celah tersebut.

Ini bukan pertama kalinya 7-Zip menjadi sorotan karena masalah keamanan. Awal tahun ini, muncul pula celah lain dengan kode CVE-2025-0411. Bug tersebut memungkinkan pelaku kejahatan digital melewati proteksi Windows bernama Mark-of-the-Web. Dengan memanipulasi ZIP bersarang, mereka dapat menghapus tanda peringatan "dari internet" pada file yang diunduh. Celah ini baru ditambal di versi 24.09.

Pola kerentanan yang berulang ini mengingatkan kita pada pentingnya kesadaran keamanan yang berkelanjutan. Seperti yang pernah terjadi dengan kasus Google Chrome dan Internet Download Manager, aplikasi yang kita percayai sehari-hari bisa menjadi titik lemah jika tidak diperbarui secara berkala.

Kerentanan dalam aplikasi populer seperti 7-Zip tidak hanya mengancam pengguna individu, tetapi juga bisa menjadi mata rantai dalam serangan yang lebih besar. Penyerang dapat memanfaatkan celah ini sebagai batu loncatan untuk instalasi malware lebih lanjut, persis seperti yang kita lihat dalam operasi Shuckworm yang menargetkan keamanan Ukraina.

Yang lebih mengkhawatirkan, teknik symlink traversal ini bisa dikombinasikan dengan kerentanan lain untuk menciptakan serangan multi-tahap yang sulit dideteksi. Penyerang mungkin tidak hanya mengekstrak file berbahaya, tetapi juga memanipulasi path ekstraksi untuk menimpa file sistem yang kritis atau menyisipkan backdoor yang bertahan bahkan setelah aplikasi diperbarui.

Dalam ekosistem keamanan siber yang semakin kompleks, setiap kerentanan—seberapa kecil pun—bisa menjadi pintu masuk bagi ancaman yang lebih besar. Pelajaran dari pembaruan keamanan untuk perangkat lama seperti iPhone menunjukkan bahwa tidak ada sistem yang benar-benar kebal, dan kewaspadaan terus-menerus adalah harga yang harus kita bayar untuk keamanan digital.

Untuk mencegah risiko serangan baru, pengguna disarankan segera memperbarui 7-Zip ke versi 25.01 atau lebih baru. Pembaruan ini bisa diunduh langsung dari situs resmi 7-Zip, dan proses instalasinya akan menggantikan versi lama tanpa mengubah preferensi pengguna.

Sambil menunggu pembaruan, langkah paling aman adalah menghindari membuka arsip ZIP dari sumber yang tidak jelas. Berhati-hatilah terhadap file yang diunduh dari internet, terutama yang datang melalui email tidak dikenal atau situs web mencurigakan. Verifikasi sumber file sebelum membukanya, dan pertimbangkan untuk menggunakan environment terisolasi jika harus menangani file dari sumber yang tidak terpercaya.

Bagi administrator sistem di lingkungan perusahaan, ini adalah pengingat penting untuk melakukan audit menyeluruh terhadap semua instalasi 7-Zip dan memastikan pembaruan telah diterapkan secara konsisten. Mengingat sifat aplikasi yang sering terlewat dari sistem manajemen patch terpusat, pendekatan proaktif diperlukan untuk mengidentifikasi dan memperbarui instance yang rentan.

Dunia digital kita dibangun di atas fondasi perangkat lunak yang kompleks, dimana setiap baris kode bisa menyimpan potensi kerentanan. Kasus 7-Zip ini bukan sekadar cerita tentang dua bug yang diperbaiki, melainkan cermin dari ekosistem keamanan siber yang terus berkembang—tempat dimana kewaspadaan dan pembaruan rutin bukan lagi pilihan, melainkan kebutuhan mendasar untuk bertahan di era digital yang semakin tak terprediksi.