Przez lata żyliśmy w bezpiecznym przekonaniu, że samo przeglądanie zawartości skompresowanych folderów nie niesie za sobą żadnego ryzyka. Cyberprzestępcy właśnie zburzyli ten mit, biorąc na celownik jedno z najpopularniejszych darmowych narzędzi na świecie – program 7-Zip. Odkryta niedawno podatność wywraca do góry nogami dotychczasowe zasady cyberbezpieczeństwa. Pokazuje ona, że zagrożenie może czaić się w plikach, które dotąd uważaliśmy za nieszkodliwe, dopóki nie kliknęliśmy przycisku „wypakuj”.
Anatomia błędu CVSS 8.8, czyli jak niewinna funkcja systemu plików paraliżuje pamięć RAM
Wykryta przez badaczy z GitHub Security Lab luka oznaczona jako CVE-2026-48095 otrzymała niezwykle wysoki wskaźnik zagrożenia – aż 8.8 w skali CVSS. Problem tkwi głęboko w kodzie odpowiedzialnym za otwieranie obrazów dysków. Przez błąd w matematycznych obliczeniach programu, system zostaje perfidnie oszukany. Złośliwy plik wmawia aplikacji, że potrzebuje do uruchomienia mikroskopijnego obszaru w pamięci komputera – o wielkości zaledwie jednego bajta.
Prawdziwa katastrofa zaczyna się chwilę później. Gdy 7-Zip zajmuje w pamięci RAM niewielką ilość miejsca, haker natychmiast upycha w nim gigantyczną ilość danych – nawet do 256 MB. Nadmiarowe dane „rozlewają się” po pamięci komputera, niszcząc inne procesy i pozwalając cyberprzestępcom na przejęcie kontroli nad systemem.
Co ciekawe, powodzenie ataku i uruchomienie złośliwego kodu zależy od specyfikacji technicznej komputera. Na nowoczesnych maszynach 64-bitowych wyposażonych w co najmniej 16 GB pamięci RAM, system bez problemu alokuje przestrzeń potrzebną do wykonania złośliwego skryptu. Na starszych lub słabszych urządzeniach z mniejszą ilością pamięci, atak zazwyczaj kończy się tylko zawieszeniem programu lub całego systemu.
Zagrożenie o skali globalnej. Konieczna jest aktualizacja
Skala tego problemu jest gigantyczna, gdyż 7-Zip nie jest jedynie prostym programem okienkowym na systemy Windows. Jego biblioteki są masowo wykorzystywane w serwerach linuksowych, kontenerach Docker, skryptach backendowych czy systemach kopii zapasowych. Znajdziemy je nawet w programach antywirusowych, które automatycznie skanują napływające archiwa. Sam portal SourceForge odnotował ponad 400 milionów pobrań tego narzędzia. Hakerzy doskonale wiedzą bowiem, że automatyczne systemy sieciowe codziennie otwierają miliony takich paczek bez jakiejkolwiek wiedzy człowieka, często działając na najwyższych uprawnieniach administratora.
Najbardziej podstępną cechą tej luki jest fakt, że oszuści mogą całkowicie ignorować rozszerzenia plików. Dla programu 7-Zip nie ma znaczenia, czy plik kończy się na .zip, .rar czy .7z. Narzędzie jest na tyle „inteligentne”, że zagląda do wnętrza pliku, by samo ocenić, z czym ma do czynienia. Hakerzy obracają tę zaletę przeciwko nam. Jeśli złośliwy plik zostanie zamaskowany jako zwykły, bezpieczny dokument tekstowy albo nie będzie miał żadnego rozszerzenia, program i tak da się nabrać. Uruchomi ukryty kod i wpuści wirusa do systemu.
Sytuację pogarsza dodatkowo fakt, że 7-Zip nie posiada wbudowanego mechanizmu automatycznych aktualizacji. Użytkownicy oraz administratorzy sieci korporacyjnych muszą ręcznie pobrać najnowszą, bezpieczną wersję 26.01 (wydaną pod koniec kwietnia 2026 roku) ze strony projektu lub wymusić instalację w konsoli Windows. Każda wcześniejsza wersja programu pozostawia otwartą furtkę dla cyberprzestępców.
Źródło tekstu: Tom’s Hardware, CyberSecurityNews / Zdjęcie otwierające: Unsplash (@arianismmm), 7-zip