Новости · Безопасность файлов

Брешь в 7-Zip: вредоносный XZ-архив мог запустить чужой код

Популярный бесплатный архиватор 7-Zip получил новую заплатку безопасности. Уязвимость скрывалась в коде, который распаковывает данные в формате XZ: специально подготовленный архив мог заставить программу записать данные за пределы выделенной памяти — и в неблагоприятном сценарии выполнить произвольный код. Обновление касается всех, кто открывает архивы, полученные из недоверенных источников.

18 июля 2026 Редакция LoadFile Чтение 4 мин
Треснувший архивный контейнер, из которого утекает поток двоичных данных — уязвимость 7-Zip в разборе XZ

Коротко: 15 июля 2026 Zero Day Initiative обнародовала уязвимость CVE-2026-14266 в архиваторе 7-Zip — переполнение кучи при разборе XZ-данных (оценка CVSS 7.0). Открытие специально сформированного архива могло привести к выполнению кода с правами текущего пользователя. Проблема устранена в 7-Zip 26.02; всем пользователям стоит обновиться и не открывать архивы из непроверенных источников.

Что произошло

15 июля 2026 года подразделение Zero Day Initiative (ZDI) компании Trend Micro опубликовало бюллетень об уязвимости в архиваторе 7-Zip. Ошибке присвоен идентификатор CVE-2026-14266 и базовая оценка CVSS 7.0 — высокий уровень риска. Проблема находится в коде, который обрабатывает данные, сжатые алгоритмом XZ (контейнер на базе LZMA2, широко используемый в архивах .xz и .tar.xz).

Уязвимость нашёл исследователь Ландон Пэн из Lunbun LLC и сообщил о ней разработчику 7-Zip 5 июня 2026 года. Разработчик Игорь Павлов выпустил исправление в версии 7-Zip 26.02 — она доступна для Windows, Linux и macOS. Публичный технический бюллетень ZDI вышел 15 июля, после чего о проблеме широко написали профильные издания.

В чём суть уязвимости CVE-2026-14266

Это переполнение буфера в куче (heap-based buffer overflow). По описанию ZDI, при разборе некорректно сформированных «чанков» (chunked data) XZ-потока 7-Zip мог записать данные за границей выделенного в куче буфера. Практический результат такого переполнения — как минимум аварийное завершение программы, а при удачном стечении обстоятельств — возможность выполнить произвольный код с правами текущего пользователя.

Ключевое условие атаки — взаимодействие пользователя: жертву нужно убедить открыть вредоносный архив или иным способом обработать специально подготовленные XZ-данные. Сам по себе файл, лежащий на диске, не опасен — брешь срабатывает в момент распаковки. Именно поэтому архивы из писем, мессенджеров и случайных загрузок остаются одним из самых частых каналов доставки вредоносного кода.

!
Почему это важно для обычного пользователя

7-Zip установлен на сотнях миллионов машин и часто используется как распаковщик «по умолчанию». Достаточно один раз открыть присланный архив — и уязвимый код отработает автоматически. Обновление до 26.02 закрывает этот вектор без изменения привычного интерфейса.

Не первая заплатка за лето

CVE-2026-14266 — уже второе за короткий срок исправление обработки сжатых данных в 7-Zip. В конце апреля 2026 года версия 26.01 закрыла уязвимость CVE-2026-48095 (CVSS 8.8) — переполнение из-за целочисленной ошибки при подсчёте памяти во время разбора NTFS-структур в архиве; её обнаружил исследователь GitHub Security Lab. Отдельно в конце июня была описана CVE-2026-58052 — обход «метки происхождения» Mark-of-the-Web при извлечении подготовленного RAR5-архива (средний уровень риска), из-за чего Windows могла не предупредить о запуске файла из интернета.

Общий вывод простой: разбор чужих форматов — сложная задача, и даже зрелые парсеры регулярно требуют правок. Держать архиватор в актуальном состоянии стоит так же дисциплинированно, как браузер или антивирус.

Что это значит для работы с файлами

XZ и производные от него контейнеры (.xz, .tar.xz) массово встречаются в дистрибутивах Linux, пакетах с исходным кодом и бэкапах — то есть там, где файлы часто приходят из внешних репозиториев. Если через ваш компьютер регулярно проходят такие архивы, обновление 7-Zip перестаёт быть формальностью.

Освежить матчасть по архивам помогут наши разборы: чем открыть файл 7z и чем открыть RAR. А общие правила безопасной работы с загрузками — в разделе безопасность файлов: как проверять вложения и не запускать подозрительное содержимое. Кстати, встроенный распаковщик 7-Zip используют и другие программы — например, WinRAR обновил свою копию модуля до 26.02 в июльском релизе 7.23.

Что делать прямо сейчас

  1. Проверьте установленную версию: меню «Справка» → «О программе» в 7-Zip. Если это 26.01 или старше — обновитесь.
  2. Скачайте 7-Zip 26.02 только с официального сайта 7-zip.org. Не берите архиватор со случайных «зеркал» — это классический канал заражения.
  3. Не распаковывайте архивы (в том числе .xz и .tar.xz) из недоверенных источников. Файл вызывает сомнения — сначала проверьте его на вирусы.
  4. Пользователям Linux и сборщикам, встраивающим 7-Zip/7-Zip-Zstd в свои конвейеры, стоит обновить бинарники и пересобрать зависимости.

Обновление бесплатно и не требует переустановки настроек — по сути это тихая, но важная заплатка безопасности.

Источники

Читайте также