• 2 min de lectura
7-Zip 26.02 corrige un fallo de ejecución remota de código basado en archivos
7-Zip 26.02 corrige un fallo de ejecución remota de código en el manejo de XZ que podría activarse con archivos comprimidos maliciosos. La aplicación debe actualizarse manualmente.

Imagen: BleepingComputer
7-Zip 26.02 ya está disponible con una corrección para una vulnerabilidad de ejecución remota de código que podría permitir a un atacante ejecutar código malicioso si un usuario abre un archivo comprimido especialmente diseñado.
El fallo fue divulgado por Landon Peng, investigador de Lunbun, y afecta a la forma en que 7-Zip procesa datos comprimidos en XZ. Según un aviso de la Zero Day Initiative, datos XZ especialmente manipulados pueden desencadenar un desbordamiento de búfer en el montón (heap), lo que podría permitir la ejecución de código arbitrario con los privilegios del usuario actual.
El desarrollador no ha publicado detalles técnicos, pero los cambios en el código fuente de la versión 26.02 indican que el fallo está relacionado con la forma en que 7-Zip controla el espacio disponible mientras descomprime datos XZ. El parche añade comprobaciones para que el decodificador no pueda escribir más allá del espacio restante en el búfer de salida, bloqueando la condición de desbordamiento.
Según el aviso, la explotación requiere interacción del usuario, como visitar una página maliciosa o abrir un archivo comprimido malicioso. Dado que 7-Zip no cuenta con una función de actualización automática, los usuarios deberán descargar e instalar la nueva versión manualmente desde 7-zip.org.

Recomendado
SAP corrige 3 fallos críticos en NetWeaver y Commerce Cloud
Esto importa porque 7-Zip sigue siendo una de las herramientas de compresión más utilizadas en Windows, lo que convierte los fallos en el procesamiento de archivos comprimidos en un objetivo valioso para los atacantes. BleepingComputer señala que fallos similares han sido explotados antes: a principios de 2025, un fallo de 7-Zip que permitía a malware eludir las protecciones "Mark of the Web" de Windows fue explotado como día cero por piratas informáticos rusos. Más adelante ese año, un grupo de piratería ruso usó la vulnerabilidad de WinRAR CVE-2025-8088 en ataques de phishing para desplegar el malware RomCom.
Actualmente no hay informes de explotación activa de esta vulnerabilidad recién divulgada en 7-Zip, pero el lanzamiento de la versión 26.02 ofrece a los usuarios un paso claro a seguir.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía BleepingComputer


