Форматы
Чем открыть файл 7z
Что за формат 7z, чем он лучше ZIP и какими бесплатными программами его распаковать на разных системах.
Популярный бесплатный архиватор 7-Zip получил новую заплатку безопасности. Уязвимость скрывалась в коде, который распаковывает данные в формате XZ: специально подготовленный архив мог заставить программу записать данные за пределы выделенной памяти — и в неблагоприятном сценарии выполнить произвольный код. Обновление касается всех, кто открывает архивы, полученные из недоверенных источников.

Коротко: 15 июля 2026 Zero Day Initiative обнародовала уязвимость CVE-2026-14266 в архиваторе 7-Zip — переполнение кучи при разборе XZ-данных (оценка CVSS 7.0). Открытие специально сформированного архива могло привести к выполнению кода с правами текущего пользователя. Проблема устранена в 7-Zip 26.02; всем пользователям стоит обновиться и не открывать архивы из непроверенных источников.
15 июля 2026 года подразделение Zero Day Initiative (ZDI) компании Trend Micro опубликовало бюллетень об уязвимости в архиваторе 7-Zip. Ошибке присвоен идентификатор CVE-2026-14266 и базовая оценка CVSS 7.0 — высокий уровень риска. Проблема находится в коде, который обрабатывает данные, сжатые алгоритмом XZ (контейнер на базе LZMA2, широко используемый в архивах .xz и .tar.xz).
Уязвимость нашёл исследователь Ландон Пэн из Lunbun LLC и сообщил о ней разработчику 7-Zip 5 июня 2026 года. Разработчик Игорь Павлов выпустил исправление в версии 7-Zip 26.02 — она доступна для Windows, Linux и macOS. Публичный технический бюллетень ZDI вышел 15 июля, после чего о проблеме широко написали профильные издания.
Это переполнение буфера в куче (heap-based buffer overflow). По описанию ZDI, при разборе некорректно сформированных «чанков» (chunked data) XZ-потока 7-Zip мог записать данные за границей выделенного в куче буфера. Практический результат такого переполнения — как минимум аварийное завершение программы, а при удачном стечении обстоятельств — возможность выполнить произвольный код с правами текущего пользователя.
Ключевое условие атаки — взаимодействие пользователя: жертву нужно убедить открыть вредоносный архив или иным способом обработать специально подготовленные XZ-данные. Сам по себе файл, лежащий на диске, не опасен — брешь срабатывает в момент распаковки. Именно поэтому архивы из писем, мессенджеров и случайных загрузок остаются одним из самых частых каналов доставки вредоносного кода.
7-Zip установлен на сотнях миллионов машин и часто используется как распаковщик «по умолчанию». Достаточно один раз открыть присланный архив — и уязвимый код отработает автоматически. Обновление до 26.02 закрывает этот вектор без изменения привычного интерфейса.
CVE-2026-14266 — уже второе за короткий срок исправление обработки сжатых данных в 7-Zip. В конце апреля 2026 года версия 26.01 закрыла уязвимость CVE-2026-48095 (CVSS 8.8) — переполнение из-за целочисленной ошибки при подсчёте памяти во время разбора NTFS-структур в архиве; её обнаружил исследователь GitHub Security Lab. Отдельно в конце июня была описана CVE-2026-58052 — обход «метки происхождения» Mark-of-the-Web при извлечении подготовленного RAR5-архива (средний уровень риска), из-за чего Windows могла не предупредить о запуске файла из интернета.
Общий вывод простой: разбор чужих форматов — сложная задача, и даже зрелые парсеры регулярно требуют правок. Держать архиватор в актуальном состоянии стоит так же дисциплинированно, как браузер или антивирус.
XZ и производные от него контейнеры (.xz, .tar.xz) массово встречаются в дистрибутивах Linux, пакетах с исходным кодом и бэкапах — то есть там, где файлы часто приходят из внешних репозиториев. Если через ваш компьютер регулярно проходят такие архивы, обновление 7-Zip перестаёт быть формальностью.
Освежить матчасть по архивам помогут наши разборы: чем открыть файл 7z и чем открыть RAR. А общие правила безопасной работы с загрузками — в разделе безопасность файлов: как проверять вложения и не запускать подозрительное содержимое. Кстати, встроенный распаковщик 7-Zip используют и другие программы — например, WinRAR обновил свою копию модуля до 26.02 в июльском релизе 7.23.
.xz и .tar.xz) из недоверенных источников. Файл вызывает сомнения — сначала проверьте его на вирусы.Обновление бесплатно и не требует переустановки настроек — по сути это тихая, но важная заплатка безопасности.