El sector del software centrado en la compresión de archivos es muy extenso, tenemos al alcance de la mano soluciones tanto gratuitas como de pago. Uno de los proyectos de este tipo más conocidos y utilizados desde hace años es 7-Zip, que ahora tiene graves problemas de seguridad.
Aquí nos referimos a un proyecto de código abierto totalmente gratuito que probablemente muchos tenéis instalado en vuestros equipos. Ahora podemos confirmar que este compresor de archivos ha sido el favorito de una enorme cantidad de usuarios a lo largo de los últimos años.
Pues bien, tenemos una mala noticia, y es que múltiples fallos de seguridad se han detectado precisamente en 7-Zip. Estos permiten a los atacantes remotos filtrar datos confidenciales del usuario, e incluso ejecutar código cuando la víctima abre un archivo comprimido manipulado.
Estos problemas afectan a la versión 7-Zip 26.00 y anteriores. Esto quiere decir que en el caso de que quisierais seguir utilizando esta propuesta de software para la compresión y descompresión de archivos en vuestros equipos, deberías actualizar el programa cuanto antes a una versión posterior. Y es que debido a su amplia penetración de mercado, todo ello se traduce en que las mencionadas vulnerabilidades tienen un impacto generalizado tanto en equipos de consumo como en equipos empresariales.
Para que os hagáis una idea, de entre todos los errores de este tipo detectados, el más grave es un desbordamiento de búfer en el controlador de archivos NTFS. Así, al crear una imagen NTFS maliciosa con clústeres de gran tamaño y una unidad de compresión específica, un atacante puede forzar a 7-Zip a escribir hasta 256 MB de datos controlados por el propio hacker durante la descompresión.
