lunes, 13 de octubre de 2025

7-Zip tiene dos vulnerabilidades de alta gravedad que permiten que los hackers puedan ejecutar código arbitrario

Comprimir y descomprimir archivos es algo habitual que hacemos en nuestro día a día en el ordenador o incluso en móviles. Cuando nos toca subir un archivo a algún hosting o pasarlo a algún familiar, amigo o compañía, lo más normal es comprimirlo para ahorrar espacio y tener todo en un solo archivo. WinRAR era el más utilizado, pero tras tantos años, las personas han optado por usar alternativas como 7-Zip que son gratuitas y Open Source. Aunque 7-Zip por norma general es seguro, han descubierto dos graves vulnerabilidades que exponen a los usuarios a atacantes remotos.

WinRAR se hizo muy popular como software de compresión de archivos en la década de los 90, pues su primera versión se lanzó en 1995 y en ese entonces no había apenas alternativas. Además, esta fue la que utilizó el sistema de compresión RAR que conocerás por los archivos ".rar" y estaban por todas partes. Cualquier archivo subido a una web de hosting para descargar utilizaba este sistema de compresión y en cierta manera te obligaba a descargar WinRAR si no querías quedarte sin nada.

Descubren 2 vulnerabilidades graves de 7-Zip que a los atacantes remotos ejecutar código en el programa

La verdadera competencia de WinRAR apareció a finales de los 90, concretamente en 1999 de mano de Igor Pavlov. Este se encargó de desarrollar 7-Zip, un software que cumplía la misma función de comprimir y descomprimir archivos, solo que en este caso era de código abierto y gratuito. Además, 7-Zip hacía como WinRAR y tenía su propio sistema de compresión con la extensión ".7z". A día de hoy podríamos decir que 7-Zip es uno de los más utilizados y por eso hay que mencionar que se han descubierto dos nuevas vulnerabilidades graves.

La primera sería la CVE-2025-11001 que permite a atacantes remotos ejecutar código arbitrario en el programa. Esta se produce por un fallo en el manejo de los enlaces simbólicos de archivos ZIP y en este caso lograrían acceder a directorios donde los atacantes pueden ejecutar código.

Las vulnerabilidades se han corregido en la versión 25.00, actualiza cuanto antes

La segunda vulnerabilidad es la CVE-2025-11002, la cual tiene exactamente la misma descripción e incluso la misma gravedad CVSS 7.0. Para que estas vulnerabilidades se activen y sean una auténtica brecha de seguridad se requiere una interacción por parte del usuario, aunque con abrir o extraer un archivo con malware ya sería suficiente. Si bien estas vulnerabilidades son peligrosas, las buenas noticias es que ambas han sido corregidas. Para ello tendrás que actualizar a la versión 25.00 de 7-Zip. Esta ni siquiera es la más nueva, pues se trata de la versión lanzada el 5 de julio de 2025.

La última que vemos en la web oficial es la 25.01 del 8 de agosto de 2025, así que con esa estarías más que seguro. Puedes comprobar la versión de 7-Zip que tienes si abres el ejecutable de 7-Zip, te vas a "Help" y "About 7-Zip". El programa no se actualiza automáticamente así que muy probablemente estés usando una versión antigua de hace años. Aunque no hay updates muy frecuentes, es una buena práctica estar mirando que hay nuevo cada ciertos meses. En el caso de 7-Zip no ha habido muchos casos de vulnerabilidades, pero en 2018 si encontraron una similar a estas donde se permitía la ejecución de código arbitrario.

Saludos.

No hay comentarios:

Publicar un comentario

Por favor sé respetuoso/a y escribe adecuadamente. Gracias.