Новости
WinRAR 7.23 закрыл опасную уязвимость в архивах
Разработчик архиватора устранил heap-переполнение в томах восстановления RAR5 и усилил защиту от path traversal.
Разработчики Rclone — популярной консольной утилиты для синхронизации файлов с облаками — выпустили версию 1.74.4. Это релиз безопасности: в нём закрыт целый набор уязвимостей, и главная из них позволяла специально собранному архиву записать файлы за пределами папки распаковки.

Коротко: 8 июля 2026 вышел Rclone 1.74.4 — релиз безопасности. Ключевая правка закрывает уязвимость CVE-2026-59732: команда rclone archive extract могла записать файлы за пределы выбранной папки, если в архиве были пути с ../. В том же обновлении закрыты ещё несколько уязвимостей, включая разбор изображений TIFF и WEBP. Пользователям стоит обновиться до 1.74.4.
8 июля 2026 года команда проекта Rclone опубликовала версию 1.74.4. Разработчики прямо называют её релизом безопасности: он исправляет уязвимости как в самом Rclone, так и в его зависимостях, плюс несколько сопутствующих ошибок. Rclone — это кроссплатформенная консольная программа, которая синхронизирует и переносит файлы между локальным диском и десятками облачных хранилищ; ей пользуются и администраторы, и обычные люди для бэкапов.
Центральная правка в списке изменений сформулирована коротко: «archive extract: исправлен path traversal, позволявший архивам выходить за пределы каталога назначения». Уязвимости присвоен идентификатор CVE-2026-59732. Она затрагивала команду rclone archive extract — встроенный распаковщик архивов — во всех версиях до 1.74.4.
Уязвимость относится к классу path traversal, а в контексте распаковки архивов её чаще называют Zip Slip. Суть в следующем: имя файла внутри архива — это, по сути, произвольная строка, и туда можно записать не просто photo.jpg, а путь с «выходом наверх» вроде ../../secret.conf. Если распаковщик слепо доверяет этому имени, он запишет файл не в выбранную папку, а туда, куда указывает путь.
Именно это и происходило в rclone archive extract до версии 1.74.4. По описанию разработчиков, при извлечении подготовленного архива с элементами вроде ../ в путях файлы могли создаваться или перезаписываться за пределами выбранного каталога назначения — в соседних объектах того же хранилища или диапазона путей. Практический риск — подмена или порча чужих файлов рядом с местом распаковки.
Zip Slip — не экзотика, а одна из самых распространённых ошибок при работе с архивами: за годы её находили в библиотеках и приложениях на всех популярных языках. Опасность в том, что вредоносным может оказаться совершенно обычный на вид архив, а сработает всё в момент распаковки — без запуска какого-либо «файла-вируса».
Path traversal в распаковке — не единственная правка. Релиз 1.74.4 закрывает сразу пакет уязвимостей, и многие из них тоже связаны с обработкой файлов:
serve. Исправлен обход изоляции приватных репозиториев в serve restic (CVE-2026-59733) и ещё один path traversal в serve s3, из-за которого клиенты могли видеть файлы в корне (GHSA-8v25-v8p6-qf7v).--links уходить за пределы каталога назначения (CVE-2026-54572), а также по умолчанию больше не восстанавливает биты setuid/setgid/sticky из метаданных.Главный вывод — не про конкретную программу, а про привычку. Любой инструмент, который распаковывает архивы или принимает файлы из сети, обрабатывает потенциально недоверенные данные. Архив, картинка, документ — это не пассивный «набор байт», а вход для парсера, в котором может быть ошибка. Поэтому распаковщики, конвертеры и синхронизаторы важно держать в актуальном состоянии так же, как браузер.
История Rclone 1.74.4 хорошо это иллюстрирует: в одном релизе — и Zip Slip в распаковке, и падения на кривых TIFF/WEBP. Если вы часто работаете с архивами, освежить основы помогут наши разборы — чем открыть RAR, — а общие правила безопасной работы с загрузками собраны в разделе безопасность файлов: как проверять вложения и не открывать подозрительное содержимое. Присланный файл вызывает сомнения — предварительно проверьте его на вирусы.
Похожие сюжеты этой недели — уже привычная лента правок в файловых утилитах: WinRAR закрыл heap-переполнение в архивах, а в 7-Zip нашли брешь в разборе XZ.
rclone version. Если это 1.74.3 или старше — обновитесь до 1.74.4 или новее.rclone archive extract запускается по расписанию.Обновление бесплатно и не меняет привычные команды — это тихая, но важная заплатка безопасности для тех, кто ежедневно гоняет файлы между дисками и облаками.