7-Zip до версии 25.0.0 уязвим к сбоям и повреждению памяти

Исследователи нашли сразу две свежие уязвимости в 7-Zip — одном из самых популярных архиваторов с открытым исходным кодом. Проблемы получили идентификаторы CVE-2025-53816 и CVE-2025-53817 и затрагивают все версии до 7-Zip 25.0.0 включительно.

Что важно: уязвимости не позволяют удалённо выполнить код, но всё равно могут привести к сбоям в работе программы и повреждению памяти.

А это уже вполне себе повод для беспокойства, особенно если вы часто работаете с архивами из сомнительных источников.

Первая уязвимость (CVE-2025-53816) связана с обработкой архивов формата RAR5. Ошибка в расчётах — сколько байтов нужно обнулить при извлечении — может привести к тому, что 7-Zip выйдет за границы отведённой памяти. Это может вызвать повреждение памяти и сбои в работе программы.

Причина — переменная _lzEnd, значение которой можно частично контролировать через содержимое архива. Эксперты отмечают, что вероятность выполнения произвольного кода низкая, но сбои в работе и отказ в обслуживании вполне реальны.

Вторая уязвимость (CVE-2025-53817) затрагивает работу с Compound Document — это такой формат, в котором хранятся, например, старые файлы Microsoft Office. Достаточно одного «кривого» файла, и 7-Zip просто падает. Особенно неприятно, если такой файл попадёт в автоматизированную систему обработки документов — может всё поломать.

Разработчики уже всё пофиксили в новой версии 7-Zip 25.0.0. Так что — не тяните, обновляйтесь! Особенно если часто имеете дело с файлами из непроверенных источников.