especialistas em cibersegurança descobriram duas vulnerabilidades graves no código do 7-zip. estas vulnerabilidades podem permitir que atacantes executem código arbitrário processando ficheiros zip sem o conhecimento do utilizador. descrições detalhadas das duas vulnerabilidades e as suas correções foram publicadas online.
as vulnerabilidades, rastreadas como cve-2025-11002 e cve-2025-11001, exploram ficheiros comprimidos que contêm ligações para bibliotecas maliciosas. quando esses ficheiros são descompactados com privilégios de administrador, estas bibliotecas são colocadas em diretórios do sistema e podem ser executadas automaticamente.
explorar as vulnerabilidades não requer privilégios elevados: os utilizadores apenas precisam de interagir com o arquivo malicioso. isto representa uma ameaça particular para os sistemas empresariais, uma vez que a injeção de código arbitrário pode levar ao comprometimento completo de toda a infraestrutura.
o 7-zip versão 25.00 corrigiu as vulnerabilidades descobertas e implementou uma verificação rigorosa de caminhos, bloqueando ligações simbólicas para além do diretório descompactado. os especialistas recomendam atualizar o programa imediatamente e rever os sistemas que descompactam ficheiros automaticamente.
os sinais de um ataque de hackers podem incluir bibliotecas desconhecidas ou ficheiros executáveis em diretórios protegidos e ficheiros zip longos com caminhos suspeitos no sistema.
