В 7-Zip нашли уязвимость с рейтингом CVE 8,8, которая может привести к выполнению кода при открытии архива. Хуже всего то, что распаковывать файл не нужно. Достаточно просто открыть «отравленный» архив в программе. Обновление уже есть: 7-Zip 26.01, релиз — конец апреля.
По оценке Tom’s Hardware, под риском могут оказаться сотни миллионов машин. Причина простая: 7-Zip стоит не только на домашних Windows-ПК, но и живёт в скриптах, CI/CD и в составе стороннего софта.
Срабатывает даже на просмотре архива, без распаковки
Сценарий атаки выглядит как «drive-by»: пользователь открывает специально подготовленный архив (.7z, .zip, .rar и другие), и на системе может выполниться вредоносный код. В исходном описании подчёркивают ещё одно условие: для воспроизведения нужен компьютер с минимум 16 ГБ ОЗУ.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Ключевой момент — уязвимость цепляется за процедуру открытия. То есть риск появляется даже если вы просто смотрите содержимое архива, а не извлекаете файлы.
Проблема не только в Windows-версии: уязвимы и CLI, и серверные цепочки
Обычно 7-Zip вспоминают как Windows-приложение с GUI. Но у него есть командные варианты, и они тоже попадают под удар на разных ОС. Любая автоматизация, которая вызывает бинарник 7z и «открывает» архив даже ради списка файлов, может стать точкой входа.
Отдельная боль — отсутствие встроенного механизма обновлений. 7-Zip полагается на ручное обновление или на пакетные менеджеры. А там часто лежат не самые свежие сборки, особенно если речь про порты.
Tom’s Hardware также пишет, что в ряде дистрибутивов встречается устаревший порт p7zip. Их быстрые проверки показали уязвимые версии в Ubuntu 24, Ubuntu 26 и RHEL 8. Плюс p7zip часто встречается в Fedora, а многие Docker-образы тянут «мейнстримные» версии пакетов, которые тоже могут оказаться не теми.
Уязвимость цепляет NTFS-образы и не зависит от расширения файла
Технически баг связан с кодом, который 7-Zip использует для открытия NTFS disk images (.ntfs и .img). В этом участке можно подать некорректные значения для буфера. В результате буфер становится больше, чем задумывали, и его можно наполнить кодом для исполнения.
Даже если вы думаете «я не открываю .ntfs и .img», это не спасает. 7-Zip определяет тип не по расширению, а по первым байтам файла. Поэтому злоумышленник может упаковать NTFS-образ внутрь .7z, .zip, .rar и других контейнеров, и атака всё равно сработает.
- антивирусные сканеры
- бэкап-софт и инструменты автоматизации
- лог-анализаторы
- инструменты анализа вредоносных файлов
- файловые менеджеры
Часть такого софта может «съесть» архив без участия пользователя. А иногда ещё и с повышенными правами, что делает последствия тяжелее.
По статистике, на которую ссылается Tom’s Hardware, у 7-Zip огромная база установок: около 400 млн загрузок на SourceForge и 24,5 млн через Chocolatey. Если добавить Linux-серверы, VM и вшитые библиотеки в сторонних продуктах, счёт потенциально уязвимых систем легко уходит в сотни миллионов.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Описания уязвимости опубликованы отдельно: Security Lab (GHSL-2026-140) и разбор по CVE: SOC Prime.
Исправление доступно в 7-Zip 26.01, которую опубликовали в конце апреля; все предыдущие версии в описании уязвимости называют уязвимыми.
Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.