Fonte:

No último dia 7 de outubro, pesquisadores da Trend Micro revelaram duas novas vulnerabilidades encontradas no app de compactação e descompactação de arquivos 7-Zip. Conhecidas como CVE-2025-11001 e CVE-2025-11002, as brechas permitem que cibercriminosos obtenham controle remoto do computador da vítima. O que é phishing e como se proteger? O que é Engenharia Social? Aprenda a identificar e se proteger de golpes O desenvolvedor do aplicativo, Igor Pavlov, corrigiu ambos os problemas em um patch ainda em julho, mas a notícia não é tão boa quanto você pensa: o 7-Zip não possui um sistema de atualização automático, então o usuário precisa baixar e instalar novas versões manualmente. Além disso, Pavlov não havia comentado sobre a vulnerabilidade, que só ficou conhecida agora. Usuários ficaram expostos por meses sem saber que precisavam atualizar o aplicativo. -Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.- Vulnerabilidades no 7-Zip Os problemas derivam do sistema usado para analisar links simbólicos nos arquivos ZIP. Um arquivo desenvolvido para infecção pode escapar da pasta para onde será extraído e trazer arquivos para outros lugares do sistema, o que, se coordenado, pode levar à execução arbitrária de códigos, com os mesmos privilégios do usuário. É o bastante para dar acesso remoto e comprometer todo o sistema Windows, o que levou ao score CVSS da falha como 7.0. A vulnerabilidade foi consertada em um patch de julho, mas, como o programa não atualiza sozinho, o usuário precisa ir ao site e baixar a mais nova versão manualmente (Imagem: Deeba Ahmed/HackRead.com) Explorar o problema, segundo a divisão Zero Day Initiative (ZDI) da Trend Micro, requer a interação do usuário, o que é extremamente comum, bastando abrir ou extrair um arquivo malicioso. A versão do 7-Zip com a correção da falha é a 25.00, publicada no último dia 5 de julho, também consertando pequenos problemas com extensões RAR e COM. Em agosto, uma versão ainda mais moderna foi lançada, a 25.01. Aos usuários, é recomendado ir ao site oficial do 7-Zip e baixar a nova versão imediatamente, corrigindo a vulnerabilidade. Até lá, convém evitar abrir qualquer arquivo ZIP vindos de fontes não confiáveis. Mesmo em ambientes corporativos, a atualização do programa escapa sistemas de gerenciamento de patches por não ser instalada via Windows Installer ou repositórios centrais. Confira também: O que é uma vulnerabilidade de dia zero (Zero-Day)? O que significa "Zero Trust" (Confiança Zero)? Criptografia para iniciantes: o que é e por que é importante? VÍDEO | Prepare-se para essa: o WinRAR, que ninguém paga, está vendendo roupas e bolsas! 🤯   Leia a matéria no Canaltech.

---

Clique aqui para ver toda notícia no site oficial.