Новости · Безопасность файлов

ClamAV закрыл семь уязвимостей в парсерах файлов

Разработчики открытого антивируса ClamAV выпустили обновления 1.5.3 и 1.4.5, устранив сразу семь уязвимостей в коде, который разбирает форматы файлов при сканировании. Часть ошибок жила в проекте почти два десятилетия. Речь идёт о движке, через который проходят вложения и загрузки на множестве почтовых шлюзов и файловых серверов, — поэтому обновление касается не только администраторов.

10 июля 2026 Редакция LoadFile Чтение 5 мин
Сканирование файлов лупой и щит с пойманным вредоносным жуком — обновление безопасности ClamAV

Коротко: 6 июля 2026 вышли ClamAV 1.5.3 и 1.4.5. Обновления закрывают семь уязвимостей в парсерах форматов файлов — PE, FSG, 7z, InstallShield, PESpin, ALZ и DMG. Все ведут к отказу в обслуживании: специально искажённый файл мог завесить или обрушить сканер. Некоторые ошибки тянутся с 2004–2009 годов. Обходных путей нет — нужно обновиться до 1.5.3 или 1.4.5.

Что произошло

6 июля 2026 года команда Cisco Talos, сопровождающая проект ClamAV, опубликовала два патч-релиза — ClamAV 1.5.3 (актуальная ветка) и ClamAV 1.4.5 (ветка с долгосрочной поддержкой). В обоих закрыт один и тот же набор из семи уязвимостей. ClamAV — это бесплатный антивирусный движок с открытым кодом: его используют почтовые шлюзы, файловые серверы, веб-фильтры и множество сервисов, которые проверяют загружаемые пользователями файлы. Именно этот движок часто стоит «на входе», разбирая вложения раньше, чем их увидит человек.

Все семь брешей относятся к разбору конкретных форматов файлов. При сканировании ClamAV распаковывает и анализирует содержимое архивов, исполняемых файлов и образов — и именно в этих разборщиках нашлись ошибки работы с памятью. Одновременно с ними Cisco выпустила отдельный бюллетень о влиянии этих уязвимостей на собственные продукты со встроенным ClamAV.

В чём суть уязвимостей

По описанию Cisco, проблемы связаны с некорректной работой с памятью, ошибками проверки границ и управления ресурсами в парсерах нескольких форматов. Общий сценарий эксплуатации одинаков: злоумышленник передаёт на проверку специально сформированный файл, разбор которого приводит к аварийному завершению или зависанию процесса сканирования — то есть к отказу в обслуживании (DoS). Практический эффект — сканер «падает» и перестаёт проверять поток файлов, из-за чего защита может временно ослабнуть.

ИдентификаторГде и что
CVE-2026-20213Переполнение при вычислении размера в перестроении PE (исполняемые файлы Windows); код тянется с 2007 года
CVE-2026-20214Ошибка в распаковщике FSG — недоработка цикла; уязвимость восходит к 2004 году
CVE-2026-20215Переполнение счётчика подпотоков в парсере 7z-архивов; с 2009 года
CVE-2026-20216Обход лимита при извлечении архивов InstallShield
CVE-2026-20217Ошибка на пути очистки в распаковщике PESpin; с 2005 года
CVE-2026-20243Ошибки обработки размера в парсере ALZ-архивов (версии 1.5.0–1.5.2 и 1.4.0–1.4.4)
CVE-2026-20244Проверки размера в парсере DMG (образы дисков macOS) на 32-битных сборках

Как видно, под удар попали именно «контейнерные» форматы — архивы (7z, ALZ, InstallShield), образы дисков (DMG) и упакованные исполняемые файлы (PE, FSG, PESpin). Это логично: чем сложнее формат-контейнер, тем больше в его разборщике кода — и тем выше шанс наткнуться на ошибку при обработке намеренно «битых» данных.

!
Почему это важно, даже если вы не админ

ClamAV нередко стоит «невидимо» — в почтовом фильтре провайдера, в антивирусной проверке загрузок на сайте, во встроенной защите NAS или роутера. Если такой сканер можно вывести из строя одним файлом, злоумышленник получает окно, в котором проверка не работает. Обновление движка закрывает это окно.

Что делать

Cisco прямо указывает: практичных обходных решений для этих уязвимостей нет, единственная надёжная мера — обновление. Порядок действий:

  1. Обновите ClamAV до 1.5.3 (если используете актуальную ветку) или до 1.4.5 (если сидите на ветке долгосрочной поддержки 1.4.x). Более старые ветки, включая 1.0.x, уже сняты с поддержки — переходите на поддерживаемую.
  2. Забирайте сборки только из официальных источников — со страницы загрузок ClamAV, из репозитория своего дистрибутива или из проверенного пакетного менеджера.
  3. Если ClamAV встроен в чужой продукт (шлюз, NAS, роутер, хостинг-панель) — проверьте бюллетени вендора и дождитесь его обновления. Cisco уже выпустила отдельный адвайзори по своим устройствам.
  4. Не полагайтесь на антивирус как на единственный барьер. Подозрительное вложение стоит открывать в изоляции и заранее проверять файл на вирусы несколькими средствами.

Что это значит для работы с файлами

История с ClamAV — наглядное напоминание: разбор «сложного» файла сам по себе может быть опасен, даже когда файл всего лишь сканируется, а не запускается. Форматы-контейнеры (архивы и образы) устроены как матрёшки, и ошибка в любом слое разбора превращается в потенциальную точку атаки. Именно поэтому антивирусные движки — частая мишень исследователей: они по долгу службы «разворачивают» всё, что им подсовывают.

Для обычного пользователя вывод практичный: держите в актуальном состоянии не только систему и браузер, но и инструменты, через которые проходят чужие файлы. Если хотите глубже разобраться в форматах из списка, помогут наши разборы: чем открыть 7z и чем открыть DMG. А базовые правила безопасной работы с загрузками собраны в разделе безопасность файлов.

Источники

Читайте также