Llega 7-Zip 16.0 para solucionar dos vulnerabilidades críticas

7-Zip es uno de los compresores y descompresores de archivos más conocido y utilizado, por detrás de WinRAR. Esta herramienta es capaz de trabajar con prácticamente todos los formatos de archivos comprimidos y, además de contar con varias funciones y características que, por defecto, no están presentes en otros compresores, es totalmente gratuito y de código abierto, por lo que es considerado por muchos como la mejor herramienta para trabajar con archivos comprimidos.

Recientemente, los responsables del proyecto han liberado una nueva versión de 7-Zip, la 16.0. Esta actualización no incluye ninguna novedad ni mejora característica, sino que se centra en solucionar dos vulnerabilidades críticas descubiertas y reportadas por Talos, una empresa de seguridad de Cisco. Estas dos vulnerabilidades han sido registradas con los códigos CVE-2016-2334 (vulnerabilidad de desbordamiento de búfer) y CVE-2016-2335 (vulnerabilidad de lectura fuera de los límites de la memoria) y afectan por igual a los usuarios de Windows, Linux y Mac OS X.

Esas vulnerabilidades se encuentran en las librerías encargadas de manejar los archivos Universal Disk Format (UDF), formato por defecto de los DVDs de audio, vídeo y otros formatos de discos ópticos. Estas librerías son, generalmente, utilizadas por otras aplicaciones de terceros, por ejemplo, las herramientas de seguridad de Malwarebytes y otros programas que hacen uso de compresión de dato. Si en nuestro sistema tenemos instalada una versión anterior a 7-Zip 16.0, estos programas también serán vulnerables.

Las dos vulnerabilidades de 7-Zip pueden ser fatales si explotan en aplicaciones de terceros

Explotar estas vulnerabilidades es muy sencillo, lo único que necesita un atacante es crear un fichero comprimido con el correspondiente exploit. Aunque esta vulnerabilidad no sirve de mucho si se explota solo en el compresor, si nuestro antivirus o software de seguridad intenta escanear de forma automática el archivo comprimido haciendo uso de estas librerías y se encuentra con el exploit, puede generar un error y cerrarse, quedando nuestro sistema expuesto a posibles ataques.

7-zip

Una vez que la vulnerabilidad se ha corregido y los usuarios han empezado a instalar esta nueva versión, Cisco ha publicado en su blog más información detallando la vulnerabilidad.

Podemos descargar esta nueva versión de 7-Zip desde su página web principal. Otros compresores alternativos basados en él, como PeaZip o BandiZip, también se están actualizando para incluir los parches de seguridad necesarios ya que, al utilizar como base 7-Zip, también son vulnerables a estos fallos de seguridad descubiertos por Cisco.

¿Utilizas 7-Zip? ¿Has actualizado ya el compresor para corregir esta vulnerabilidad?

Quizá te interese: