Todo el mundo que use el pc de forma regular en algún punto ha tenido que usar algún programa para descomprimir archivos como lo puedan ser los .rar o .zip, usando normalmente para esto 7-zip. Un programa open source que se encarga de realizar esta tarea de forma muy cómoda, pero tenemos que advertiros, si sois usuarios de esta herramienta deberías actualizar a su nueva versión 18.05 ya que soluciona un problema de vulnerabilidad crítico.
El alcance de la vulnerabilidad
Lo que permitía hacer esta vulnerabilidad es que solo teniendo un archivo .rar preparado para ello, permitiría a la persona en cuestión la ejecución de código arbitrario. Que dependiendo de los privilegios asociados al usuario afectado que tenga la sesión activa a la hora de ser atacado por esta vulnerabilidad, permitiría al atacante hacer múltiples cosas.
Dependiendo de esto el atacante podría instalar el programa que quiera, ver, cambiar, o borrar datos, o incluso crear una nueva cuenta o sesión con todos los privilegios posibles. Aquellos usuarios que tengan su cuenta configurada pera tener menos privilegios para con el sistema no serán tan afectados como aquellos que tengan privilegios de administrador en su sesión.
El uso de 7-zip
Cabe destacar que 7-zip es uno de los programas más populares disponibles en internet, ha sido descargado cerca de 450 millones de veces solo de Sourceforge. Y estamos hablando de un programa que es usado a muchos niveles, desde el usuario medio, pasando tanto por pequeñas como grandes empresas como por entidades gubernamentales, lo cual, sobretodo en este último caso, puede resultar peligroso el tener un programa con una vulnerabilidad de este tipo instalado en el equipo.
Esta vulnerabilidad fue descubierta y puesta en conocimiento por el investigador de seguridad landave.io el 6 de marzo al desarrollador, para que, con esta información en sus manos, pudiera empezar a trabajar en una solución. Por fortuna, al contrario que con otras vulnerabilidades de las que hablamos en el pasado, está ya ha sido solucionada por la gente de 7-zip en su última versión disponible para descarga en su web.
