Коротко: 15 июля 2026 года публично раскрыта критическая уязвимость в 7-Zip — одном из самых популярных бесплатных архиваторов. Ошибка CVE-2026-14266 позволяет специально подготовленному архиву выполнить произвольный код на вашем компьютере с вашими же правами. Исправление вышло в версии 26.02, но у 7-Zip нет автообновления, поэтому миллионы установок остаются уязвимыми, пока пользователь не обновит программу вручную. Главный шаг — установите 7-Zip 26.02 или новее прямо сейчас.
Что произошло
15 июля 2026 года подразделение Zero Day Initiative компании Trend Micro опубликовало бюллетень ZDI-26-444 о новой уязвимости 7-Zip — CVE-2026-14266. О дыре разработчику сообщил 5 июня 2026 года исследователь Лэндон Пэн из Lunbun LLC, и в рамках скоординированного раскрытия исправленная сборка — 7-Zip 26.02 — вышла ещё до публикации деталей. Уязвимость получила оценку 7.0 по шкале CVSS (высокий уровень опасности).
Это уже вторая опасная дыра в архиваторе, о которой мы пишем за короткий срок: ранее мы разбирали похожую уязвимость удалённого выполнения кода в WinRAR. Архиваторы — привлекательная мишень именно потому, что они установлены почти у всех, и вложения через них открывают не задумываясь.
В чём суть уязвимости
CVE-2026-14266 — это переполнение буфера в куче (heap-based buffer overflow) при разборе XZ-данных, разбитых на блоки (chunked data). Обрабатывая специально сформированный XZ-поток, 7-Zip может записать данные за границу выделенного буфера памяти. Это повреждение памяти атакующий способен направить на выполнение собственного кода в контексте текущего процесса 7-Zip. На практике это значит, что вредоносный код запускается с теми же правами, что и пользователь, открывший файл.
Важный момент: для атаки требуется действие самого пользователя. Незаметно проникнуть не получится — жертва должна открыть заражённый архив или зайти на вредоносную страницу, подготовленную так, чтобы подсунуть XZ-нагрузку. Барьер ниже, чем кажется: открыть архив — ровно то, что люди делают по десятку раз в день не задумываясь.
Чем это опасно для ваших данных
7-Zip — одна из самых распространённых программ на ПК с Windows, и она не обновляется сама. Многие ставят её один раз и больше к ней не возвращаются, поэтому дыра, закрытая в новом релизе, может оставаться открытой на машине месяцами и годами. Атакующему нужно лишь заставить вас открыть один файл — фейковый счёт, «документ» от коллеги, загрузку с сомнительного сайта.
Как только код исполняется под вашей учётной записью, последствия обычные: кража паролей из браузера, перехват банковских и почтовых сессий, шифрование файлов вымогателем или тихо оставленный бэкдор. Чем больше ваших данных уже утекло в других инцидентах — как в утечке миллиардов паролей через инфостилеры, о которой мы писали, — тем прицельнее такую атаку можно навести именно на вас.
Как защититься
Обновите 7-Zip до версии 26.02 или новее. У 7-Zip нет встроенного обновления, поэтому скачайте актуальную версию с официального сайта (7-zip.org) и переустановите поверх старой. Это единственный шаг, который реально закрывает дыру.
Не открывайте архивы из непроверенных источников. Для атаки нужно, чтобы вы сами открыли вредоносный файл, поэтому относитесь к неожиданным вложениям .7z, .zip и особенно .xz с подозрением — признаки атаки разобраны в нашем гайде как защитить аккаунт от взлома.
Используйте менеджер паролей и двухфакторную аутентификацию. Если код всё же выполнится на вашей машине, уникальные пароли в менеджере паролей и 2FA ограничат, как далеко зайдёт злоумышленник с украденным.
Шифруйте соединение в недоверенных сетях. VPN не закрывает дыру в программе — это делает только обновление. Но он дополняет патчинг: в публичном или общем Wi-Fi он уводит трафик в зашифрованный туннель, чтобы посторонние в той же сети не перехватили логины и сессии, которые вы отправляете в банк, почту или рабочие порталы. LiMP VPN — no-logs-сервис для iOS и Android; смотрите возможности и тарифы, а больше новостей о безопасности — в нашем блоге.
Стоит ли беспокоиться, если я не пользуюсь 7-Zip?
Если 7-Zip не установлен, конкретно эта дыра вас не касается — но урок шире. Любой архиватор, просмотрщик PDF или медиаплеер, который открывает файлы извне, может нести подобную ошибку разбора. Держите все такие программы обновлёнными, скачивайте их только с официальных источников и с осторожностью относитесь к неожиданным вложениям — независимо от того, какая программа их открывает. Привычка важнее одного патча.
Источники
Материал подготовлен по официальному бюллетеню Zero Day Initiative компании Trend Micro (ZDI-26-444), заметкам к релизу 7-Zip 26.02 на GitHub проекта и публикации Cybersecurity News, июль 2026 года.
