Ilustrace počítače s upozorněním na zranitelnost v 7-Zip, kolem něj symboly škodlivých archivů a zámku pro zabezpečení.
Ilustrace počítače s upozorněním na zranitelnost v 7-Zip, kolem něj symboly škodlivých archivů a zámku pro zabezpečení.

Aktualizace 7-Zip může zabránit vzdálenému spuštění kódu, což je užitečný kontext pro kolegu, který spravuje systémy.

Zranitelnost v 7-Zip ohrožuje miliony Tok příběhu a hlavní fakta

Bezpečnostní experti odhalili vážnou zranitelnost v populárním archivačním nástroji 7-Zip, označenou jako CVE-2026-48095. Chyba typu heap-based buffer overflow umožňuje útočníkům spustit libovolný kód na cílovém systému pouhým otevřením speciálně upraveného archivu – bez nutnosti instalace nebo další interakce. Problém vzniká při nekorektním zpracování NTFS obrazů disků, což vede k přepsání paměti a potenciálnímu vzdálenému spuštění kódu.

Zranitelnost je zvláště nebezpečná kvůli širokému nasazení 7-Zip nejen jako desktopové aplikace, ale i jako knihovny v dalších softwarech na Windows i Linux. Riziko reálného zneužití narostlo poté, co byl zveřejněn funkční proof-of-concept skript v Pythonu, který demonstruje útok.

Vývojáři reagovali rychle a opravili chybu v aktualizaci 26.01, uvolněné přibližně před měsícem. Uživatelům a správcům systémů se doporučuje okamžitá aktualizace, protože starší verze zůstávají zranitelné. Bezpečnostní komunita považuje tuto záležitost za kritickou kvůli jednoduchosti útoku a rozsahu nasazení nástroje.

Fakta

  • Zranitelnost CVE-2026-48095 v 7-Zip umožňuje vzdálené spuštění kódu při otevření škodlivého archivu.
  • Chyba typu heap-based buffer overflow byla objevena v dubnu 2026 a zveřejněn proof-of-concept skript.
  • Oprava je dostupná v verzi 7-Zip 26.01, uvolněné přibližně před měsícem.
  • 7-Zip je integrován v mnoha dalších aplikacích a systémech na platformách Windows i Linux.
  • K útoku není potřeba instalace – stačí otevřít upravený soubor.

Vizuální vysvětlení zpráv od Canto. Při tvorbě mohou pomáhat nástroje AI. Redakční zásady