7-Zip es un conjunto de librerías libres que nos permiten comprimir y descomprimir todo tipo de archivos. A diferencia de otros conocidos compresores de archivos como WinZip o WinRAR, las librerías de este compresor se caracterizan por ser totalmente gratuitas y de código abierto, promoviendo por defecto el uso de su propio algoritmo 7Z pero siendo, además, compatible con prácticamente cualquier algoritmo que podamos encontrar, desde el clásico ZIP hasta el nuevo RAR5 pasando por los conocidos formatos de Linux, como TAR o GZ.
Aunque 7-Zip cuenta con su propia aplicación para comprimir y descomprimir archivos, generalmente esta no se suele utilizar ya que su interfaz principal no es precisamente intuitiva ni bonita. Sin embargo, muchos compresores alternativos, como PeaZip, sí están basados en él, por lo que es importante asegurarnos de que nuestro compresor utiliza la última versión de las librerías de 7-Zip, especialmente cuando se descubren vulnerabilidades como las que se acaban de dar a conocer.
Dos fallos de seguridad en 7-Zip 18.0 y versiones anteriores pueden poner en peligro tu PC
El primero de los fallos de seguridad encontrados en las librerías de 7-Zip es CVE-2018-5996. Este fallo de seguridad se encuentra en la implementación de las librerías UnRAR de 7-Zip, librerías utilizadas para descomprimir los archivos RAR v3. Debido a dos flags (NXCOMPAT y DYNAMICBASE) utilizadas al compilar este compresor, este software se ejecuta fuera de la capa de seguridad ASLR de Windows, lo que puede permitir un ataque de corrupción de memoria que ponga en peligro a los usuarios de este compresor de archivos.
Hay varias formas de explotar esta vulnerabilidad, vulnerabilidad que podría incluso llegar a dar lugar a un ataque de ejecución de código, especialmente en sistemas que no tengan habilitada la capa de seguridad DEP del sistema operativo.
El segundo de los fallos de seguridad de 7-Zip es CVE-2017-17969, un fallo de desbordamiento del búfer en la rutina LZW que igualmente puede permitir al programa tener acceso a los recursos de la memoria más allá de sus límites.
Las librerías 7-Zip 18.01 ya corrigen estos fallos de seguridad
Como hemos dicho, los desarrolladores de 7-Zip no han tardado en corregir los fallos en cuanto se les ha dado a conocer, lanzando así la versión 18.01 de este kit de librerías para comprimir y descomprimir archivos.
El nuevo 7-Zip 18.01 ya se encuentra disponible para descargar desde su página web principal. Si utilizamos este compresor de archivos debemos actualizarlo lo antes posible para protegernos del fallo de seguridad, y si utilizamos otros compresores de archivos basados en él, como PeaZip, debemos estar atentos a las actualizaciones de las librerías a esta nueva versión de 7-Zip, ya segura.
