Новости · Безопасность файлов

WinRAR 7.23 закрыл опасную уязвимость в обработке архивов

Разработчик популярного архиватора WinRAR выпустил версию 7.23. Главное в обновлении — устранение уязвимости, из-за которой специально подготовленный архив мог обрушить программу, а в неблагоприятном сценарии — привести к выполнению чужого кода. Обновление касается всех, кто регулярно распаковывает RAR- и ZIP-файлы.

3 июля 2026 Редакция LoadFile Чтение 4 мин
Архивный файл под защитой щита с замком — обновление безопасности WinRAR 7.23

Коротко: 2 июля 2026 вышел WinRAR 7.23. Обновление закрывает уязвимость CVE-2026-14191 — переполнение кучи в обработке томов восстановления RAR5, которое могло приводить к сбою программы или выполнению кода. Также усилена защита от подмены путей через симлинки и обновлена встроенная библиотека распаковки 7-Zip. Пользователям стоит обновиться до 7.23.

Что произошло

2 июля 2026 года разработчик win.rar GmbH опубликовал финальную версию WinRAR 7.23. Ключевой пункт в списке изменений — исправление уязвимости в коде, который восстанавливает данные из так называемых томов восстановления (recovery volumes, файлы .rev) формата RAR5. По классификации это переполнение буфера в куче (heap overflow), уязвимости присвоен идентификатор CVE-2026-14191.

Проблема затрагивала графический WinRAR, консольную утилиту RAR и распаковщик UnRAR. При этом библиотека UnRAR.dll, которую используют сторонние программы, не обрабатывает тома восстановления и уязвимости не подвержена. Обновиться, по рекомендации разработчика, стоит до версии 7.23 или новее.

В чём суть уязвимости CVE-2026-14191

Тома восстановления — это дополнительные файлы .rev, которые позволяют «починить» повреждённый или частично утраченный архив. Уязвимость в том, что при обработке специально искажённых данных восстановления могла происходить запись за пределы выделенной области памяти. Практический результат — как минимум аварийное завершение программы (отказ в обслуживании), а в зависимости от поведения аллокатора памяти и других условий проблему теоретически можно было бы связать с другими ошибками и добиться выполнения произвольного кода.

Чтобы атака сработала, злоумышленнику нужно убедить пользователя обработать вредоносный том восстановления вместе с целевым архивом — например, распространив поддельный .rev-файл в связке с внешне безобидным содержимым. Уязвимость нашёл исследователь безопасности Арджун Баснет из Securin Labs.

!
Почему это важно для обычного пользователя

Архивы — один из самых частых способов доставки вредоносного кода. Даже если вы не создаёте тома восстановления сами, вредоносный .rev-файл может прийти в наборе с обычным архивом. Простое обновление архиватора закрывает этот вектор.

Что ещё изменилось в 7.23

Помимо основной правки, версия 7.23 включает ещё несколько изменений по безопасности и удобству:

  • Защита от path traversal через симлинки. WinRAR теперь блокирует создание символических ссылок, ведущих за пределы папки распаковки, при извлечении специально сформированных архивов. Дополнительная проверка в коде извлечения исключает возможность атаки с подменой путей для WinRAR, RAR и UnRAR.
  • Обновлена библиотека 7-Zip. Встроенный модуль распаковки 7zxa.dll обновлён до версии 26.02 — в него вошли исправления безопасности и ошибок от разработчика 7-Zip. Это связано с недавними правками в самом 7-Zip (в том числе исправлением переполнения при разборе NTFS-образов, CVE-2026-48095, закрытым в 7-Zip 26.01).
  • Вывод версии. Ключ командной строки -iver теперь печатает версию RAR даже при указании -idc, а в конец вывода добавлен перевод строки — мелочь, полезная для скриптов.

Что это значит для работы с файлами

Вывод простой: архиватор — не «поставил и забыл». Инструменты, через которые проходят все входящие файлы, стоит держать в актуальном состоянии так же внимательно, как браузер или антивирус. RAR и ZIP по-прежнему остаются самыми ходовыми контейнерами для передачи данных, а значит — привлекательной мишенью для атак через специально сформированные архивы.

Если вы работаете с этими форматами, освежить матчасть помогут наши разборы: чем открыть RAR и чем открыть 7z. А общие правила безопасной работы с загрузками — в разделе безопасность файлов: как проверять вложения и не запускать подозрительное содержимое.

Что делать прямо сейчас

  1. Проверьте установленную версию: меню «Помощь» → «О программе» в WinRAR. Если это 7.22 или старше — обновитесь.
  2. Скачайте WinRAR 7.23 только с официального сайта win-rar.com или из проверенного репозитория. Не берите архиватор со случайных «зеркал» — это классический канал заражения.
  3. Не распаковывайте архивы и тома восстановления из недоверенных источников. Присланный файл вызывает сомнения — предварительно проверьте его на вирусы.
  4. Пользователям консольных RAR/UnRAR и разработчикам, встраивающим их в свои сборки, стоит обновить бинарники до 7.23.

Обновление бесплатно для всех текущих пользователей WinRAR и не меняет привычный интерфейс — по сути это тихая, но важная заплатка безопасности.

Источники

Читайте также