Популярный бесплатный архиватор 7-Zip снова оказался в центре внимания из-за серьёзной уязвимости. CVE-2026-48095 позволяет злоумышленникам выполнить произвольный код на компьютере жертвы — достаточно, чтобы пользователь открыл специально подготовленный архив. Учитывая, что 7-Zip скачали сотни миллионов раз и он используется как в домашних, так и в корпоративных системах, проблема может затронуть очень большое количество устройств.
Проблема получила идентификатор CVE-2026-48095 (GHSL-2026-140). Она представляет собой переполнение буфера (heap-based buffer overflow), которое возникает при обработке NTFS-образов томов внутри архива.
Уязвимость была обнаружена в апреле 2026 года и приватно передана разработчикам. Уже через некоторое время вышла исправленная версия 26.01, которая больше не подвержена этой проблеме. Публичное описание и рабочий proof-of-concept (PoC) на Python появились совсем недавно.
Как работает эксплойт
Злоумышленник создаёт вредоносный архив, содержащий специально сформированный NTFS-образ. При открытии такого файла в уязвимых версиях 7-Zip происходит ошибка в расчёте размера буфера. Программа выделяет недостаточно памяти, что приводит к перезаписи данных.
В зависимости от версии операционной системы и объёма доступной памяти это может закончиться либо удалённым выполнением кода, либо простым крахом приложения (отказом в обслуживании).
Насколько серьёзен риск
7-Zip — один из самых популярных инструментов для работы с архивами в мире. Его используют не только обычные пользователи, но и системные администраторы, а также различные программы и скрипты через командную строку и библиотеки. В худшем случае под ударом могут оказаться сотни миллионов Windows- и Linux-систем, на которых до сих пор стоит старая версия архиватора.
Особенно опасно то, что эксплойт не требует никаких дополнительных действий от пользователя — достаточно просто открыть заражённый файл (например, полученный по почте или скачанный с сомнительного сайта).
Разработчики уже выпустили исправление. Самое важное — обновить 7-Zip до версии 26.01 или новее как можно скорее. Обновление доступно на официальном сайте 7-zip.org.
Если вы используете 7-Zip в корпоративной среде, рекомендуется срочно проверить версии на всех рабочих станциях и серверах, а также настроить автоматическое обновление.
