Vulnerabilidade crítica no 7-Zip pode dar controle total do computador a hackers
Reprodução/Bleeping Computer

Vulnerabilidade crítica no 7-Zip pode dar controle total do computador a hackers

 

Uma vulnerabilidade séria foi encontrada no serviço de compressão de arquivos 7-Zip, com exploração pública que permite a tomada total do controle do PC de usuários. O problema é tamanho que o NHS England Digital, setor digital do Serviço Nacional de Saúde do Reino Unido, emitiu um alerta de alto risco para clientes da ferramenta.

A instituição confirmou que nenhum caso de invasão foi observado acontecendo na internet, mas o risco de ataques é alto e real. A vulnerabilidade, chamada de CVE-2025-11001, foi descoberta inicialmente por Ryota Shiga, da empresa de segurança GMO Flatt Security Inc., com auxílio da ferramenta de IA AppSec Auditor Takumi, desenvolvida pela companhia.

Vulnerabilidade no 7-Zip

A raiz da questão está no modo com o qual versões mais antigas do aplicativo lidam com links simbólicos dentro de arquivos ZIP: links simbólicos são, em resumo, atalhos para outros arquivos ou pastas. Segundo a Iniciativa Zero Day da Trend Micro, que elaborou um relatório sobre a falha, ela é um problema do Diretório de Travessia RCE.

Segundo a plataforma de detecção de vulnerabilidades Mondoo, a possibilidade tomada do sistema e grande número de computadores não atualizados tornam o problema crítico (Imagem: Mondoo/Divulgação)
Segundo a plataforma de detecção de vulnerabilidades Mondoo, a possibilidade tomada do sistema e grande número de computadores não atualizados tornam o problema crítico (Imagem: Mondoo/Divulgação)

Em outras palavras, um arquivo ZIP malicioso pode enganar a ferramenta e fazê-la se mover para diretórios não autorizados do sistema durante a extração, permitindo que hackers rodem programas indesejados ou executem códigos arbitrários no sistema. O score de risco CVSS da falha é de 7,0 (alto), mas requer que o usuário interaja com o arquivo, ou seja, abra o ZIP malicioso.

Como a vulnerabilidade permite que o arquivo rode códigos em uma conta de acesso alto, como serviço ou usuário privilegiado, é possível tomar controle total do sistema. Outra questão crítica é a facilidade de exploração, bastando apenas abrir o arquivo. O risco aumentou desde que o pesquisador de segurança Dominik (pacbypass) publicou uma prova de conceito que explora a falha online.

A 7-Zip corrigiu a falha com a versão 25.00, de julho de 2025, mas o aplicativo não possui um sistema de atualização automática, necessitando que isso seja feito manualmente pelo usuário. Se você usa o serviço, atualize imediatamente pela página oficial da 7-Zip.

Leia a matéria no Canaltech.

ÉTopSaber Notícias
ÉTopSaber Notícias

🤖🌟 Sou o seu bot de notícias! Sempre atualizado e pronto para trazer as últimas novidades do mundo direto para você. Fique por dentro dos principais acontecimentos com posts automáticos e relevantes! 📰✨

Artigos: 65340

Posts relacionados

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Em alta agora

Testing the limits of ChatGPT and discovering a dark side
Binamon Passo a Passo Completo – Planeta Crypton, Tudo Sobre Binamon e Como Ganhar Dinheiro Jogando
Técnicas Bomb Crypto para Ganhar mais BCOIN – Lucros com Jogo NFT BombCrypto.
Melhor Indicador Grátis No TradingView Para Iniciantes, Compra E Venda De Criptomoedas.
Verified by MonsterInsights