Duas vulnerabilidades descobertas recentemente podem tornar o 7-Zip um risco sério para a segurança de dados e do sistema. Estes bugs eram conhecidos internamente há meses, e o responsável pelo 7-Zip, Igor Pavlov, lançou uma correcção este Verão. No entanto, é fortemente aconselhado aos utilizadores que dependem de versões mais antigas que actualizem assim que possível. Dado que o 7-Zip não possui um mecanismo de actualização automática, isto torna-se um risco de segurança maior.
De acordo com a Zero Day Initiative da Trend Micro, as duas falhas têm as referências CVE-2025-11001 e CVE-2025-11002. Ambas descrevem o mesmo tipo de vulnerabilidade: uma falha de execução remota de código por ‘directory traversal’ na análise de ficheiros. As vulnerabilidades podem permitir que atacantes executem código malicioso num sistema local, avisa a empresa.
A exploração destas vulnerabilidades requer interacção do utilizador, mas o risco pode variar dependendo de como o exploit é implementado. Essencialmente, o problema resulta de o 7-Zip não conseguir lidar correctamente com ligações simbólicas em ficheiros ZIP. Um ficheiro ZIP especialmente manipulado pode fazer com que o programa escreva ficheiros fora da pasta de extracção pretendida, potencialmente comprometendo o sistema.
Um atacante pode explorar estas falhas, levando os utilizadores a descarregarem um ficheiro ZIP com malware e executando o payload quando o ficheiro é aberto ou descompactado. Assim, o código malicioso pode ser executado com os mesmos privilégios da conta que está a usar o sistema operativo, representando uma ameaça significativa em sistemas Windows.
A Trend Micro divulgou as falhas recentemente, mas reportou-as à equipa do 7-Zip em Maio. Pavlov abordou os problemas no 7-Zip 25.00, lançado a 5 de Julho. A versão estável actual, 25.01, também inclui estas correcções.
Apesar de serem conhecidas há meses, as falhas CVE-2025-11001 e CVE-2025-11002 ainda podem afectar uma quantidade significativa de utilizadores do 7-Zip. Infelizmente, o programa não possui uma funcionalidade de actualização automática e permanece popular entre utilizadores com sistemas mais antigos, dada a sua compatibilidade com Windows XP e até Windows 2000.
Para utilizadores e organizações preocupados com a segurança, a instalação da versão mais recente do 7-Zip é agora essencial. Além disso, é altamente recomendável evitar ficheiros ZIP de fontes desconhecidas ou não confiáveis.
