Llega 7-Zip 16.0 para solucionar dos vulnerabilidades críticas

Escrito por Rubén Velasco
Actualidad

7-Zip es uno de los compresores y descompresores de archivos más conocido y utilizado, por detrás de WinRAR. Esta herramienta es capaz de trabajar con prácticamente todos los formatos de archivos comprimidos y, además de contar con varias funciones y características que, por defecto, no están presentes en otros compresores, es totalmente gratuito y de código abierto, por lo que es considerado por muchos como la mejor herramienta para trabajar con archivos comprimidos.

Recientemente, los responsables del proyecto han liberado una nueva versión de 7-Zip, la 16.0. Esta actualización no incluye ninguna novedad ni mejora característica, sino que se centra en solucionar dos vulnerabilidades críticas descubiertas y reportadas por Talos, una empresa de seguridad de Cisco. Estas dos vulnerabilidades han sido registradas con los códigos CVE-2016-2334 (vulnerabilidad de desbordamiento de búfer) y CVE-2016-2335 (vulnerabilidad de lectura fuera de los límites de la memoria) y afectan por igual a los usuarios de Windows, Linux y Mac OS X.

Esas vulnerabilidades se encuentran en las librerías encargadas de manejar los archivos Universal Disk Format (UDF), formato por defecto de los DVDs de audio, vídeo y otros formatos de discos ópticos. Estas librerías son, generalmente, utilizadas por otras aplicaciones de terceros, por ejemplo, las herramientas de seguridad de Malwarebytes y otros programas que hacen uso de compresión de dato. Si en nuestro sistema tenemos instalada una versión anterior a 7-Zip 16.0, estos programas también serán vulnerables.

Las dos vulnerabilidades de 7-Zip pueden ser fatales si explotan en aplicaciones de terceros

Explotar estas vulnerabilidades es muy sencillo, lo único que necesita un atacante es crear un fichero comprimido con el correspondiente exploit. Aunque esta vulnerabilidad no sirve de mucho si se explota solo en el compresor, si nuestro antivirus o software de seguridad intenta escanear de forma automática el archivo comprimido haciendo uso de estas librerías y se encuentra con el exploit, puede generar un error y cerrarse, quedando nuestro sistema expuesto a posibles ataques.

7-zip

Una vez que la vulnerabilidad se ha corregido y los usuarios han empezado a instalar esta nueva versión, Cisco ha publicado en su blog más información detallando la vulnerabilidad.

Podemos descargar esta nueva versión de 7-Zip desde su página web principal. Otros compresores alternativos basados en él, como PeaZip o BandiZip, también se están actualizando para incluir los parches de seguridad necesarios ya que, al utilizar como base 7-Zip, también son vulnerables a estos fallos de seguridad descubiertos por Cisco.

¿Utilizas 7-Zip? ¿Has actualizado ya el compresor para corregir esta vulnerabilidad?

Quizá te interese:

Compártelo. ¡Gracias!
Continúa leyendo

Comentarios

2 comentarios
  1. Anónimo 15 May, 16 2:34

    solo uso Winrar, descargue un archivo .Rar supuestamnete del programita “Connectify Hotspot”+keys, de una web confiable hasta ese momento, al descomprimir salio un mensaje de Error no se que? luego salto mi antivirus Avast.I.S. por aplicacion potencialmente peligrosa y elimino el supuesto crack, el problema es que no podia cerrar la ventana del antivirus solo minimizar reinicie abri el antivirus intente cerrar ventana pero no se cerraba, probe en la pc de mi primo extraer con Winrar pero su antivirus Eset congelo la pantalla del pc y elimino el viruz y siguio funcionando normal, esto sucedio el año pasado, hoy uso ESET y compresor PeaZip.

    0
    1. Anónimo 22 Jun, 16 1:51

      sigo usando sin problemas 7-Zip 15.14, pero hace unos minutos 21 Junio 2016 ya instale la ultima version 7-Zip 16.02, que est full en todo sentido y no necesita cracks, nada que envidiar a WinRar, me juiii..

      0