Vulnerabilidade crítica no 7-Zip pode dar controle total do computador a hackers

Uma vulnerabilidade séria foi encontrada no serviço de compressão de arquivos 7-Zip, com exploração pública que permite a tomada total do controle do PC de usuários. O problema é tamanho que o NHS England Digital, setor digital do Serviço Nacional de Saúde do Reino Unido, emitiu um alerta de alto risco para clientes da ferramenta.

• Como abrir um arquivo ZIP | PC e celular
• Como zipar arquivos e pastas | Guia Prático

A instituição confirmou que nenhum caso de invasão foi observado acontecendo na internet, mas o risco de ataques é alto e real. A vulnerabilidade, chamada de CVE-2025-11001, foi descoberta inicialmente por Ryota Shiga, da empresa de segurança GMO Flatt Security Inc., com auxílio da ferramenta de IA AppSec Auditor Takumi, desenvolvida pela companhia.

Vulnerabilidade no 7-Zip

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

A raiz da questão está no modo com o qual versões mais antigas do aplicativo lidam com links simbólicos dentro de arquivos ZIP: links simbólicos são, em resumo, atalhos para outros arquivos ou pastas. Segundo a Iniciativa Zero Day da Trend Micro, que elaborou um relatório sobre a falha, ela é um problema do Diretório de Travessia RCE.

Em outras palavras, um arquivo ZIP malicioso pode enganar a ferramenta e fazê-la se mover para diretórios não autorizados do sistema durante a extração, permitindo que hackers rodem programas indesejados ou executem códigos arbitrários no sistema. O score de risco CVSS da falha é de 7,0 (alto), mas requer que o usuário interaja com o arquivo, ou seja, abra o ZIP malicioso.

Como a vulnerabilidade permite que o arquivo rode códigos em uma conta de acesso alto, como serviço ou usuário privilegiado, é possível tomar controle total do sistema. Outra questão crítica é a facilidade de exploração, bastando apenas abrir o arquivo. O risco aumentou desde que o pesquisador de segurança Dominik (pacbypass) publicou uma prova de conceito que explora a falha online.

A 7-Zip corrigiu a falha com a versão 25.00, de julho de 2025, mas o aplicativo não possui um sistema de atualização automática, necessitando que isso seja feito manualmente pelo usuário. Se você usa o serviço, atualize imediatamente pela página oficial da 7-Zip.

Confira também:

• AGU tira do ar site gringo que comercializava deepfakes com pornografia infantil
• Brasil é vice-campeão mundial de ciberataques e soma 28 milhões de golpes no Pix
• Contagem regressiva: Hackers ameaçam expor 343 GB de dados da Under Armour

VÍDEO | Prepare-se para essa: o WinRAR, que ninguém paga, está vendendo roupas e bolsas! 🤯

Fonte: Trend Micro, NHS, Mondoo, Microsoft