Uma vulnerabilidade no 7-Zip, identificada como CVE-2025-0411, permitia a atacantes contornar a funcionalidade de segurança "Mark of the Web" (MoTW) do Windows, não alertando os utilizadores para programas ou documentos potencialmente maliciosos. O suporte ao MoTW foi lançado no 7-Zip na versão 22.00 (em Junho de 2022) e aplica uma marca em ficheiros provenientes de fontes não confiáveis. Este sistema ajuda o Windows e outras aplicações a alertar os utilizadores sobre possíveis riscos, activando medidas de protecção como o modo de leitura no Microsoft Office, desactivando scripts; ou indicando que ficheiros executáveis são de origem desconhecida, pedindo confirmação adicional antes de os executar.
O problema afectava arquivos comprimidos dentro de um arquivo comprimido, situação em que o 7-Zip não aplicava as a marcas MoTW aos ficheiros extraídos. Isto permitia que os atacantes criassem ficheiros Zip com conteúdos maliciosos que não apresentariam esses alertas aos utilizadores. O criador do 7-Zip, Igor Pavlov, corrigiu a vulnerabilidade a 30 de Novembro de 2024, com o lançamento da versão 24.09, que garante a aplicação correcta das marcas MoTW em todos os ficheiros extraídos.
Este alerta está a ser dado porque o 7-Zip não possui um sistema de actualização automática, o que faz com que grande parte dos utilizadores possam estar a usar versões vulneráveis. Como tal, os utilizadores do 7-Zip devem visitar o site oficial e instalar a versão 24.09 (ou mais recente) para evitarem riscos adicionais.
Sem comentários:
Enviar um comentário (problemas a comentar?)