2 min de lectura

7-Zip 26.02 parchea una vulnerabilidad de ejecución de código en XZ

7-Zip 26.02 corrige un fallo en la descompresión XZ que podría permitir la ejecución de código mediante archivos maliciosos. Los usuarios deben actualizar manualmente.

Imagen: BleepingComputer

7-Zip 26.02 corrige una vulnerabilidad de ejecución remota de código que podría permitir a los atacantes ejecutar código malicioso después de convencer a los usuarios de abrir archivos comprimidos especialmente manipulados. El fallo afecta el manejo de datos comprimidos en XZ por parte de la utilidad.

La vulnerabilidad fue divulgada por el investigador de Lunbun Landon Peng. Según un aviso de Zero Day Initiative, datos XZ especialmente manipulados pueden desencadenar un desbordamiento de búfer en el montón (heap), lo que podría permitir la ejecución arbitraria de código con los privilegios del usuario actual.

Cómo funciona la vulnerabilidad en 7-Zip

El desarrollador no ha publicado detalles técnicos, pero los cambios en el código fuente de la versión 26.02 indican que la corrección aborda cómo 7-Zip controla el espacio disponible durante la descompresión de datos XZ. Nuevas comprobaciones impiden que el decodificador escriba más allá del espacio restante en un búfer de salida, bloqueando el desbordamiento de heap sospechado.

La explotación requiere interacción del usuario, como visitar una página web maliciosa o abrir un archivo malicioso. Los atacantes podrían distribuir estos archivos mediante campañas de phishing o ingeniería social para instalar malware en sistemas Windows vulnerables.

Las fallas en el procesamiento de archivos comprimidos se han explotado anteriormente. A principios de 2025, los atacantes utilizaron una vulnerabilidad de 7-Zip para eludir la función de seguridad Mark of the Web (MotW) de Windows como un zero-day. Más adelante ese año, un grupo de hackers ruso explotó la vulnerabilidad de WinRAR CVE-2025-8088 mediante ataques de phishing para instalar el malware RomCom.

Recomendado

Los exploits RCE de wp2shell para WordPress ya son públicos

Cómo instalar la actualización de seguridad

7-Zip no ofrece actualizaciones automáticas, por lo que los usuarios deben descargar manualmente la versión 26.02 desde el sitio web oficial, 7-zip.org. Actualmente no hay informes de que los atacantes estén explotando activamente esta vulnerabilidad recién divulgada, pero actualizar con prontitud reduce el riesgo de ataques futuros.

Imagen del artículo
Imagen del artículo
Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía BleepingComputer

/ Sigue leyendo