Исследователи безопасности бьют тревогу: популярный архиватор 7-Zip уязвим для удалённого выполнения кода (RCE). Уязвимость, получившая номер CVE-2026-14266, позволяет злоумышленнику подсунуть жертве специально сформированный XZ-архив — и при его открытии в системе может запуститься вредоносная программа.
Самое неприятное — для заражения даже не нужно извлекать файлы. Достаточно просто открыть архив в уязвимой версии 7-Zip. Ошибка кроется в том, как программа обрабатывает фрагментированные XZ-данные: происходит переполнение буфера в куче, и злоумышленник получает возможность выполнить свой код с правами текущего пользователя.
Уязвимости присвоили 7 баллов из 10 по шкале CVSS — статус «высокая». Для атаки нужно, чтобы жертва открыла архив или перешла по ссылке на вредоносный сайт, так что массового автоматического взлома не будет. Но для фишинга и социальной инженерии схема подходит идеально: вредоносный архив можно замаскировать под обновление, резервную копию, документы или просто файл из мессенджера.
О случаях реальных атак пока не сообщается, но технические подробности уже опубликованы, и кто-то обязательно попытается собрать рабочий эксплойт.
Проблема затронула версии 7-Zip до 26.02. Разработчики выпустили патч ещё 25 июня 2026 года — в версии 26.02. Проблема в том, что у 7-Zip нет автоматического обновления, поэтому многие пользователи до сих пор сидят на старой, уязвимой версии, особенно если установили архиватор давно и забыли про него.
Обновиться стоит прямо сейчас. Скачать свежую версию можно с официального сайта 7-Zip. И, конечно, не открывайте подозрительные архивы из писем, мессенджеров и файлообменников — даже если они называются «документы_важное.xz». Внутри может оказаться не документ, а чужой код с большими планами на ваш компьютер.
Источник: www.playground.ru