Explorações de segurança sérias encontradas no 7-Zip, atualização disponível

Usuários executando o popular utilitário de arquivamento de arquivos de código aberto, 7-Zip, deve atualizá-lo imediatamente. Duas grandes falhas de segurança foram descobertas no software, que podem ser usadas para comprometer dados pessoais. O 7-Zip é usado por muitas pessoas por aí e por fornecedores de terceiros para compactar arquivos grandes em aplicativos.

Recentemente, o Cisco Talos descobriu várias vulnerabilidades exploráveis ​​no 7-Zip. Esse tipo de vulnerabilidade é especialmente preocupante, pois os fornecedores podem não estar cientes de que estão usando as bibliotecas afetadas. Isso pode ser particularmente preocupante, por exemplo, quando se trata de dispositivos de segurança ou produtos antivírus. O 7-Zip é suportado em todas as principais plataformas e é um dos utilitários de arquivamento mais populares atualmente em uso. Os usuários podem se surpreender ao descobrir quantos produtos e dispositivos são afetados.

Fonte

CVE-2016-2335 é uma vulnerabilidade de leitura fora dos limites que existe na maneira como o 7-Zip lida com arquivos UDF (Universal Disk Format). CVE-2016-2334 é uma vulnerabilidade de estouro de pilha explorável que existe no Arquivo:: NHfs:: CHandler:: ExtractZlibFile funcionalidade do método 7-Zip.

Felizmente, a exploração foi corrigida na versão mais recente do software 7-Zip, que no momento da redação deste artigo é versão 16.0. Para descobrir a versão instalada, inicie o 7-Zip File Manager e vá para Ajuda> Sobre o 7-Zip.

Download 7-Zip versão 16.0

Os usuários que executam o Adobe Flash Player também devem atualizar. Adobe lançou uma atualização de segurança na semana passada, por uma exploração de dia zero encontrada no Flash Player.

Além disso, na semana passada, a Microsoft lançou um novo atualização cumulativa para Windows 10 que inclui atualizações de segurança e correções de bugs.