Mountain View, 17 de julio de 2026
El archivador 7-Zip ha sido publicado en su nueva versión 26.02 y cierra una peligrosa vulnerabilidad de seguridad que permite la inyección de código malicioso al abrir archivos XZ manipulados.
Por qué la vulnerabilidad de 7-Zip es tan peligrosa
La Zero Day Initiative (ZDI) de Trend Micro había hecho pública la vulnerabilidad. Se trata de un desbordamiento de búfer en el heap (heap-buffer-overflow) que se activa al procesar datos de fragmentos XZ. Según la ZDI, basta con „eine bösartige Seite aufrufen oder eine bösartige Datei öffnen", para activar el exploit. Así lo afirma el informe.
Los atacantes pueden aprovechar la vulnerabilidad para ejecutar código malicioso oculto en archivos de almacenamiento especialmente preparados, sin que las usuarias y los usuarios lo noten. Sin embargo, es necesaria la interacción del usuario: el archivo debe abrirse activamente. En caso de éxito, el código malicioso se ejecuta en el contexto del proceso actual.
La vulnerabilidad fue descubierta por la ZDI y fue reportada el 5 de junio al desarrollador de 7-Zip, Igor Pavlov. Este publicó un parche el 25 de junio con la versión 26.02. La ZDI publicó su advisory el 15 de julio. Las notas de la versión (Release Notes) de 7-Zip 26.02 no mencionan la vulnerabilidad por su nombre, sino que solo señalan que „einige Fehler und Sicherheitslücken behoben" fueron corregidos.
