Pesquisadores de segurança identificaram duas vulnerabilidades críticas no popular programa de compactação de dados 7-Zip que permitem que invasores executem códigos arbitrários no computador da vítima se o usuário abrir ou extrair o conteúdo de um arquivo ZIP especialmente criado.

Fonte da imagem: Kandinsky

Como apurou o Tom’s Hardware, o problema foi relatado em 7 de outubro pela desenvolvedora japonesa de software de segurança cibernética Trend Micro, como parte de sua Iniciativa Dia Zero (ZDI). As vulnerabilidades, identificadas como CVE-2025-11001 e CVE-2025-11002, estão relacionadas à forma como o 7-Zip manipula links simbólicos em arquivos ZIP. Um invasor pode criar um arquivo capaz de percorrer o diretório de destino e gravar arquivos em caminhos arbitrários do sistema. Quando usadas em conjunto, essas vulnerabilidades permitem a execução de código com os privilégios do usuário atual, o que é suficiente para comprometer um ambiente Windows. Ambas as vulnerabilidades têm uma pontuação CVSS base de 7,0.

De acordo com o boletim da ZDI, a exploração requer interação mínima do usuário — bastando abrir ou extrair o arquivo malicioso. Em seguida, uma vulnerabilidade de travessia de diretório por meio de links simbólicos pode sobrescrever arquivos ou colocar payloads em caminhos confidenciais, permitindo que um invasor sequestre o fluxo de execução. A ZDI classifica ambos os bugs como vulnerabilidades de travessia de diretório, levando à execução remota de código no contexto de uma conta de serviço.

O desenvolvedor russo do 7-Zip, Igor Pavlov, lançou a versão 25.00 em 5 de julho, que corrigiu essas vulnerabilidades. A versão estável, 25.01, foi lançada em agosto. No entanto, os detalhes técnicos só foram divulgados publicamente esta semana, quando a ZDI emitiu notificações. Isso significa que os usuários que não atualizaram o programa desde o início do verão permaneceram vulneráveis ​​por vários meses sem saber. Além disso, devido aDevido à falta de um mecanismo de atualização automática, muitos continuam usando versões mais antigas do programa.

No início deste ano, a vulnerabilidade CVE-2025-0411 atraiu a atenção de pesquisadores de segurança por permitir que usuários contornassem a proteção Windows Mark-of-the-Web (MOTW) aninhando arquivos ZIP maliciosos uns dentro dos outros, removendo efetivamente a marca “baixado da internet” dos arquivos. Esse problema foi corrigido na versão 24.09.

Para proteção, recomendamos baixar o 7-Zip versão 25.01 ou posterior diretamente do site oficial do projeto. O instalador atualizará sua configuração existente sem alterar nenhuma configuração do usuário. Antes de atualizar, evite descompactar arquivos de fontes não confiáveis.

admin

Postagens recentes

SSDs do chinês YMTC começaram a penetrar nos mais recentes laptops Lenovo ThinkBook

\nA escassez global de chips de memória tem um impacto negativo sobre os fabricantes de…

43 minutos atrás

Calendário de lançamento – 6 a 12 de julho: Assassin’s Creed Black Flag Resynced e Doom: The Dark Ages – DLC

\nA segunda semana de julho aposta em grandes reviravoltas. Assassin’s Creed Black Flag está recebendo…

1 hora atrás

Cunha com cunha: Reddit lançou IA contra spam criado por redes neurais

\nO Reddit anunciou a integração de ferramentas baseadas em grandes modelos de linguagem (LLM) para…

2 horas atrás

Nintendo deixará de vender o console Switch original na Europa em 2027

\nA Nintendo lançará no mercado da UE uma versão do console portátil Switch 2 com…

2 horas atrás

Não apenas Fallout e The Elder Scrolls: uma fonte respeitável esclareceu as novas prioridades do Xbox para a Bethesda

\nIniciada por Asha Sharma, a maior reestruturação da história do Xbox resultará não apenas em…

3 horas atrás

O data center Meta✴ infectou uma estação de tratamento de águas residuais em uma cidade americana com uma bactéria rara

O Conselho de Serviços Públicos de Cheyenne (BOPU), autoridade de serviços públicos do Wyoming, parou…

4 horas atrás