Encuentran graves fallos de seguridad en 7-Zip, actualiza cuanto antes a la nueva versión 18.01

Escrito por Rubén Velasco
Software

7-Zip es un conjunto de librerías libres que nos permiten comprimir y descomprimir todo tipo de archivos. A diferencia de otros conocidos compresores de archivos como WinZip o WinRAR, las librerías de este compresor se caracterizan por ser totalmente gratuitas y de código abierto, promoviendo por defecto el uso de su propio algoritmo 7Z pero siendo, además, compatible con prácticamente cualquier algoritmo que podamos encontrar, desde el clásico ZIP hasta el nuevo RAR5 pasando por los conocidos formatos de Linux, como TAR o GZ.

Aunque 7-Zip cuenta con su propia aplicación para comprimir y descomprimir archivos, generalmente esta no se suele utilizar ya que su interfaz principal no es precisamente intuitiva ni bonita. Sin embargo, muchos compresores alternativos, como PeaZip, sí están basados en él, por lo que es importante asegurarnos de que nuestro compresor utiliza la última versión de las librerías de 7-Zip, especialmente cuando se descubren vulnerabilidades como las que se acaban de dar a conocer.

Dos fallos de seguridad en 7-Zip 18.0 y versiones anteriores pueden poner en peligro tu PC

El primero de los fallos de seguridad encontrados en las librerías de 7-Zip es CVE-2018-5996. Este fallo de seguridad se encuentra en la implementación de las librerías UnRAR de 7-Zip, librerías utilizadas para descomprimir los archivos RAR v3. Debido a dos flags (NXCOMPAT y DYNAMICBASE) utilizadas al compilar este compresor, este software se ejecuta fuera de la capa de seguridad ASLR de Windows, lo que puede permitir un ataque de corrupción de memoria que ponga en peligro a los usuarios de este compresor de archivos.

7-Zip Vulnerabilidad ASLR

Hay varias formas de explotar esta vulnerabilidad, vulnerabilidad que podría incluso llegar a dar lugar a un ataque de ejecución de código, especialmente en sistemas que no tengan habilitada la capa de seguridad DEP del sistema operativo.

El segundo de los fallos de seguridad de 7-Zip es CVE-2017-17969, un fallo de desbordamiento del búfer en la rutina LZW que igualmente puede permitir al programa tener acceso a los recursos de la memoria más allá de sus límites.

Las librerías 7-Zip 18.01 ya corrigen estos fallos de seguridad

Como hemos dicho, los desarrolladores de 7-Zip no han tardado en corregir los fallos en cuanto se les ha dado a conocer, lanzando así la versión 18.01 de este kit de librerías para comprimir y descomprimir archivos.

El nuevo 7-Zip 18.01 ya se encuentra disponible para descargar desde su página web principal. Si utilizamos este compresor de archivos debemos actualizarlo lo antes posible para protegernos del fallo de seguridad, y si utilizamos otros compresores de archivos basados en él, como PeaZip, debemos estar atentos a las actualizaciones para poder actualizar tan pronto como actualicen las librerías a esta nueva versión de 7-Zip ya segura.

¿Eres usuario de 7-Zip o de algún compresor de archivos basado en él?

Compártelo. ¡Gracias!
Continúa leyendo
  • Ulises Neikon

    No han firmado el instalador de la nueva version, y windows lanza una advertancia. Yo me espero a que solucionen esto antes de actualizar.

    • Franco Castillo

      No es para tanto. Poné que sí y punto.

  • manu

    la advertencia te la manda tambien cuando quieres instalar;
    Sumatra PDF (reemplazara lector Pdf d Edge),
    Honeyview visor d imagenes (remplazara su horrible app d fotos d windows)
    Notepad++ (reeemplazara bloc d notas d windows)
    gimp (no reemplaza a nadie) etc, etc, etc..

    ja,ja.. esten firmados o no es igual; microsoft siempre te recomienda instalar desde su tienda de apps.
    7-zip 18.01 (2018-01-28) instalado desde 29 d enero sin problemas y aun sin firmar o eso creo, he, he.. suerte!