В 7-Zip закрыта критическая уязвимость, позволяющая удалённо выполнять код через XZ-файлы

7-Zip

Исследователи Trend Micro Zero Day Initiative (ZDI) опубликовали уведомление о критической уязвимости в архиваторе 7-Zip. Проблема, получившая идентификатор CVE-2026-14266 и оценку 7,0 балла по шкале CVSS, затрагивает все версии 7-Zip до 26.02. Уязвимость связана с переполнением буфера на основе кучи при обработке XZ-сжатых данных. В случае эксплуатации злоумышленник может выполнить произвольный код в контексте текущего процесса, не имея предварительного доступа к устройству жертвы.

Уязвимость CVE-2026-14266

Суть проблемы кроется в логике разбора фрагментированных данных формата XZ - популярного алгоритма сжатия, используемого в дистрибутивах ПО, резервных копиях, архивах и других сжатых файлах. Специально сформированные XZ-данные приводят к тому, что 7-Zip выходит за границы выделенной в куче памяти. Такое повреждение памяти может быть использовано для перенаправления потока выполнения программы. Поскольку аутентификация или повышенные привилегии не требуются, жертва рискует уже при простом открытии вредоносного файла.

Для успешной атаки необходимо взаимодействие пользователя. Злоумышленник должен убедить жертву открыть специально созданный архив или перейти по ссылке на вредоносную веб-страницу. Это снижает вероятность автоматизированной эксплуатации, но делает уязвимость удобной для целевых фишинговых кампаний, доставки программ-вымогателей и атак методами социальной инженерии. Вредоносный файл может быть замаскирован под легитимный архив, обновление программы, пакет документов или общую резервную копию.

Уязвимость CVE-2026-14266 была обнаружена исследователем Лэндоном Пэном из компании Lunbun LLC. Он сообщил о ней разработчикам 7-Zip 5 июня 2026 года. В рамках скоординированного раскрытия ZDI выпустила уведомление 15 июля. Патч включён в версию 7-Zip 26.02, вышедшую в тот же день. На момент публикации нет данных об активной эксплуатации уязвимости в реальных атаках, однако публикация технических деталей может ускорить появление эксплойтов.

Переполнение буфера на основе кучи - один из наиболее опасных классов ошибок памяти. Оно позволяет не только нарушить целостность данных, но и получить контроль над выполнением кода. В случае CVE-2026-14266 злоумышленник может внедрить полезную нагрузку, которая запустит вредоносное ПО, похитит данные, доступные текущему пользователю, изменит файлы или дестабилизирует работу системы. Конкретные последствия зависят от окружения и сценария атаки.

Хотя CVSS-вектор AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H указывает на локальный вектор и высокую сложность атаки, требование взаимодействия пользователя компенсируется отсутствием необходимости в аутентификации. Это означает, что жертва, открывшая файл, может быть скомпрометирована без каких-либо предварительных условий. Особенно уязвимы корпоративные пользователи, которые получают и обрабатывают архивы из внешних источников - по электронной почте, через мессенджеры или файлообменники.

Разработчики 7-Zip рекомендуют немедленно обновить программу до версии 26.02 или более поздней. Администраторам безопасности следует усилить мониторинг подозрительных XZ-архивов, поступающих через ненадёжные каналы. Пока обновление не развёрнуто, пользователям стоит избегать открытия неожиданных сжатых файлов и проверять источник каждого архива перед распаковкой. Обновление доступно на официальном сайте 7-Zip и через встроенную функцию проверки обновлений.

Эта ситуация напоминает о постоянной опасности уязвимостей в широко используемых утилитах для работы с архивами. Формат XZ распространён в экосистемах Linux и Windows, и ошибки в его реализации могут затрагивать миллионы устройств. CVE-2026-14266 - не первая и не последняя проблема такого рода, поэтому своевременное управление исправлениями остаётся ключевым элементом защиты.

Ссылки

Комментарии: 0