No último dia 7 de outubro, pesquisadores da Trend Micro revelaram duas novas vulnerabilidades encontradas no app de compactação e descompactação de arquivos 7-Zip. Conhecidas como CVE-2025-11001 e CVE-2025-11002, as brechas permitem que cibercriminosos obtenham controle remoto do computador da vítima.
- O que é phishing e como se proteger?
- O que é Engenharia Social? Aprenda a identificar e se proteger de golpes
O desenvolvedor do aplicativo, Igor Pavlov, corrigiu ambos os problemas em um patch ainda em julho, mas a notícia não é tão boa quanto você pensa: o 7-Zip não possui um sistema de atualização automático, então o usuário precisa baixar e instalar novas versões manualmente.
Além disso, Pavlov não havia comentado sobre a vulnerabilidade, que só ficou conhecida agora. Usuários ficaram expostos por meses sem saber que precisavam atualizar o aplicativo.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
Vulnerabilidades no 7-Zip
Os problemas derivam do sistema usado para analisar links simbólicos nos arquivos ZIP. Um arquivo desenvolvido para infecção pode escapar da pasta para onde será extraído e trazer arquivos para outros lugares do sistema, o que, se coordenado, pode levar à execução arbitrária de códigos, com os mesmos privilégios do usuário. É o bastante para dar acesso remoto e comprometer todo o sistema Windows, o que levou ao score CVSS da falha como 7.0.
Explorar o problema, segundo a divisão Zero Day Initiative (ZDI) da Trend Micro, requer a interação do usuário, o que é extremamente comum, bastando abrir ou extrair um arquivo malicioso. A versão do 7-Zip com a correção da falha é a 25.00, publicada no último dia 5 de julho, também consertando pequenos problemas com extensões RAR e COM. Em agosto, uma versão ainda mais moderna foi lançada, a 25.01.
Aos usuários, é recomendado ir ao site oficial do 7-Zip e baixar a nova versão imediatamente, corrigindo a vulnerabilidade. Até lá, convém evitar abrir qualquer arquivo ZIP vindos de fontes não confiáveis. Mesmo em ambientes corporativos, a atualização do programa escapa sistemas de gerenciamento de patches por não ser instalada via Windows Installer ou repositórios centrais.
Confira também:
- O que é uma vulnerabilidade de dia zero (Zero-Day)?
- O que significa “Zero Trust” (Confiança Zero)?
- Criptografia para iniciantes: o que é e por que é importante?
VÍDEO | Prepare-se para essa: o WinRAR, que ninguém paga, está vendendo roupas e bolsas! 🤯
Leia a matéria no Canaltech.
