Usa o 7-Zip? Falha grave exige que você atualize o programa manualmente

No último dia 7 de outubro, pesquisadores da Trend Micro revelaram duas novas vulnerabilidades encontradas no app de compactação e descompactação de arquivos 7-Zip. Conhecidas como CVE-2025-11001 e CVE-2025-11002, as brechas permitem que cibercriminosos obtenham controle remoto do computador da vítima.

• O que é phishing e como se proteger?
• O que é Engenharia Social? Aprenda a identificar e se proteger de golpes

O desenvolvedor do aplicativo, Igor Pavlov, corrigiu ambos os problemas em um patch ainda em julho, mas a notícia não é tão boa quanto você pensa: o 7-Zip não possui um sistema de atualização automático, então o usuário precisa baixar e instalar novas versões manualmente.

Além disso, Pavlov não havia comentado sobre a vulnerabilidade, que só ficou conhecida agora. Usuários ficaram expostos por meses sem saber que precisavam atualizar o aplicativo.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Vulnerabilidades no 7-Zip

Os problemas derivam do sistema usado para analisar links simbólicos nos arquivos ZIP. Um arquivo desenvolvido para infecção pode escapar da pasta para onde será extraído e trazer arquivos para outros lugares do sistema, o que, se coordenado, pode levar à execução arbitrária de códigos, com os mesmos privilégios do usuário. É o bastante para dar acesso remoto e comprometer todo o sistema Windows, o que levou ao score CVSS da falha como 7.0.

Explorar o problema, segundo a divisão Zero Day Initiative (ZDI) da Trend Micro, requer a interação do usuário, o que é extremamente comum, bastando abrir ou extrair um arquivo malicioso. A versão do 7-Zip com a correção da falha é a 25.00, publicada no último dia 5 de julho, também consertando pequenos problemas com extensões RAR e COM. Em agosto, uma versão ainda mais moderna foi lançada, a 25.01.

Aos usuários, é recomendado ir ao site oficial do 7-Zip e baixar a nova versão imediatamente, corrigindo a vulnerabilidade. Até lá, convém evitar abrir qualquer arquivo ZIP vindos de fontes não confiáveis. Mesmo em ambientes corporativos, a atualização do programa escapa sistemas de gerenciamento de patches por não ser instalada via Windows Installer ou repositórios centrais.

Confira também:

• O que é uma vulnerabilidade de dia zero (Zero-Day)?
• O que significa "Zero Trust" (Confiança Zero)?
• Criptografia para iniciantes: o que é e por que é importante?

VÍDEO | Prepare-se para essa: o WinRAR, que ninguém paga, está vendendo roupas e bolsas! 🤯

Fonte: Trend Micro