Groźna luka w 7-Zip. Wystarczy otworzyć archiwum i można mieć kłopoty

Badacze ostrzegają przed luką wykrytą w programie 7-Zip oznaczoną wysokim poziomem zagrożenia 8.8 w skali CVSS. Może ona pozwolić na uruchomienie złośliwego kodu już po samym otwarciu archiwum.

Co gorsza, użytkownik nie musi nawet wypakowywać plików. Wystarczy samo otwarcie odpowiednio przygotowanego archiwum w formacie ZIP, RAR, 7Z lub innym formacie obsługiwanym przez 7-Zip.

Zalecana aktualizacja

Eksperci zalecają natychmiastową aktualizację programu do wersji 26.01 wydanej pod koniec kwietnia, która pozbawiona jest wspomnianej luki. Wszystkie wcześniejsze wydania są natomiast narażone na atak. Problem jest szczególnie poważny ze względu na ogromną popularność 7-Zip. Program od lat uchodzi za jedno z najczęściej używanych darmowych narzędzi do obsługi archiwów zarówno na Windowsie, jak i w środowiskach serwerowych oraz linuksowych. Nie licząc WinRAR.

Popularność 7-Zip

Według dostępnych danych sam SourceForge odnotował około 400 milionów pobrań programu, a miliony kolejnych instalacji pochodzą z menedżerów pakietów, Dockerów oraz gotowych obrazów systemów operacyjnych.

Badacze ostrzegają przed luką wykrytą w programie 7-Zip oznaczoną wysokim poziomem zagrożenia 8.8 w skali CVSS. Może ona pozwolić na uruchomienie złośliwego kodu już po samym otwarciu archiwum.

Luka dotyczy nie tylko aplikacji na Windowsa. Zagrożone mają być również wersje działające z poziomu terminala oraz różnego rodzaju automatyczne skrypty wykorzystujące bibliotekę 7-Zip. Podatne mogą być serwery, systemy CI CD, oprogramowanie do kopii zapasowych, narzędzia analityczne, menedżery plików, a nawet niektóre programy antywirusowe automatycznie analizujące archiwa.

Sytuację komplikuje również sposób działania samego 7-Zip. Program nie rozpoznaje typu pliku wyłącznie po rozszerzeniu, lecz analizuje jego zawartość. Dzięki temu złośliwy obraz NTFS może zostać ukryty wewnątrz zwykłego archiwum ZIP lub RAR i nadal zostać poprawnie otwarty przez program.

Przyczyna problemu

Według opisu problem związany jest z błędem występującym podczas obsługi obrazów dysków NTFS i niewłaściwym zarządzaniem pamięcią. Atakujący może przygotować archiwum zawierające specjalnie spreparowane dane prowadzące do wykonania złośliwego kodu.

Pierwsze testy pokazują, że podatne wersje znajdują się między innymi w Ubuntu 24, Ubuntu 26 oraz RHEL 8. Problem może więc dotyczyć zarówno zwykłych komputerów użytkowników, jak i ogromnej liczby serwerów działających w firmach.