OrcaSlicer corrige vulnerabilidade de arquivos 3MF que ameaçava dados do usuário
A versão 2.3.2 do OrcaSlicer foi lançada esta semana com uma lista robusta de melhorias e correções. Entre os destaques está a correção de uma vulnerabilidade de segurança relacionada a arquivos 3MF. Além disso, a atualização traz diversas melhorias de usabilidade, especialmente voltadas para quem utiliza o software em sistemas Linux.
Cobrimos a versão estável anterior em outubro de 2025 e, assim como sua predecessora, esta atualização também corrige alguns bugs e adiciona novos recursos. No entanto, o grande destaque fica para a correção de uma vulnerabilidade de segurança relacionada à importação de arquivos 3MF, que até então não havia sido divulgada.
De acordo com as notas de lançamento no GitHub, a correção impede que arquivos .3mf (que são cada vez mais utilizados em projetos complexos com múltiplas placas ou multicoloridos) possam gravar dados em locais arbitrários do sistema. Esse comportamento poderia, em teoria, permitir a execução de código malicioso.
Na prática, arquivos 3MF funcionam como uma espécie de pasta ZIP. Normalmente, o usuário não interage diretamente com eles como faria com um ZIP comum, já que o fatiador faz toda a extração em segundo plano. É justamente aí que esse tipo de vulnerabilidade, conhecido informalmente como “zip-slip”, se aproveita da situação. SoftFever, principal mantenedor do OrcaSlicer, explicou: “Em termos simples: um agente malicioso poderia criar um arquivo .3mf especialmente preparado que, ao ser aberto no OrcaSlicer, escreveria silenciosamente arquivos controlados pelo atacante em locais arbitrários do disco — fora das áreas onde o OrcaSlicer deveria atuar…”. Ele acrescenta: “apenas abrir um ‘arquivo de projeto’ de uma fonte não confiável já poderia comprometer sua máquina.”
Arquivos desse tipo poderiam, em teoria, ser enviados para repositórios de modelos, aparentar funcionar normalmente como arquivos imprimíveis e explorar o sistema assim que fossem baixados e utilizados. Até o momento, não há relatos de exploração ativa dessa vulnerabilidade.
“O problema foi reportado de forma responsável pelo usuário ‘Zekun Shen’, que merece bastante crédito — ele forneceu uma análise detalhada, uma prova de conceito funcional e até instruções sobre como um arquivo .3mf malicioso poderia ser criado”, continua SoftFever. “Isso facilitou muito a compreensão do problema e permitiu que corrigíssemos rapidamente.”
Como o OrcaSlicer é um fork do Bambu Studio — que, por sua vez, deriva do PrusaSlicer — surge naturalmente a dúvida se essa vulnerabilidade também estaria presente nesses outros fatiadores. Segundo SoftFever, o problema foi herdado no momento em que o código do Bambu Studio foi originalmente bifurcado.
Um representante da Bambu Lab afirmou que “o Bambu Studio não contém essa vulnerabilidade”. Já a Prusa ainda não se pronunciou sobre a existência de algo semelhante em seu fatiador. De toda forma, é provável que outros slicers derivados de versões do Orca anteriores à 2.3.2 precisem incorporar essa correção em seus códigos, caso ainda não o tenham feito.
O que há de novo no Orca Slicer
Os usuários de Linux são, sem dúvida, os que mais têm a ganhar com esta versão. A 2.3.2 corrige uma série de problemas específicos da plataforma que afetavam usuários de desktop Linux, incluindo falhas de renderização com tela preta, um erro de barra de título duplicada em alguns gerenciadores de janelas e limitações no suporte ao Wayland.
Talvez ainda mais importante para usuários avançados, a interface de linha de comando (CLI) — amplamente utilizada por operadores de fazendas de impressão e por quem trabalha com fluxos automatizados de fatiamento — agora está corrigida.
Além de resolver a vulnerabilidade relacionada aos arquivos 3MF e trazer melhorias importantes para o Linux, esta nova versão do Orca Slicer também introduz alguns recursos voltados à personalização e à experiência do usuário.
Para configurações multimateriais com extrusora única que utilizam torre de purga (wipe tower) para garantir a qualidade das impressões, foi adicionado um segundo tipo de torre. Antes, o modelo da impressora determinava automaticamente qual tipo seria utilizado; agora, o usuário pode escolher. O “Tipo 1” continua sendo o padrão para impressoras da Bambu Lab e Qidi Tech, mas os desenvolvedores recomendam que usuários de impressoras com MMU, corte de filamento e com sistema toolchanger (troca de ferramentas) optem pelo “Tipo 2”.
Outras mudanças incluem ajustes na interface e na experiência de uso (UI/UX), além da adição de novos perfis de impressoras e materiais. Para conferir todos os detalhes do OrcaSlicer v2.3.2, vale a pena consultar as notas de lançamento no GitHub ou acessar o site oficial. (Fique atento a versões falsas — há muitas circulando. O único site oficial é o orcaslicer.com.)
Também de interesse:
- Alveo3D Expands into Shop Fume Extraction with FE150 & FE350
- Anycubic's Spring Sale Drops the Multicolor-Printing Kobra X to $279
- MMU3 da Prusa recebe upgrade final de performance; suporte para Core One L vem em solução DIY
Chega de ler? Experimente escutar:
Licença: O texto "OrcaSlicer corrige vulnerabilidade de arquivos 3MF que ameaçava dados do usuário", da All3DP, é licenciado pela licença Creative Commons Atribuição 4.0 Internacional (CC BY 4.0)