Des chercheurs mettent en garde contre une faille de sécurité découverte dans 7-Zip, classée comme très grave (8,8 sur l'échelle CVSS). Elle pourrait permettre l'exécution de code malveillant par simple ouverture d'une archive. Pire encore, l'utilisateur n'a même pas besoin d'extraire les fichiers. Il lui suffit d'ouvrir une archive correctement préparée au format ZIP, RAR, 7Z ou tout autre format pris en charge par 7-Zip. Les experts recommandent de mettre à jour immédiatement le programme vers la version 26.01, publiée fin avril, qui corrige cette vulnérabilité. Toutes les versions antérieures restent vulnérables. Le problème est particulièrement grave compte tenu de l'immense popularité de 7-Zip. Depuis des années, ce programme est considéré comme l'un des outils de gestion d'archives gratuits les plus utilisés sous Windows, serveur et Linux, sans oublier WinRAR. D'après les données disponibles, SourceForge a enregistré à lui seul environ 400 millions de téléchargements du programme, et des millions d'installations supplémentaires proviennent de gestionnaires de paquets, de Docker et d'images de systèmes d'exploitation préconfigurées.

Cette vulnérabilité affecte non seulement les applications Windows, mais aussi les versions en ligne de commande et divers scripts automatisés utilisant la bibliothèque 7-Zip. Les serveurs, les systèmes CI/CD, les logiciels de sauvegarde, les outils d'analyse, les gestionnaires de fichiers et même certains antivirus analysant automatiquement les archives peuvent également être vulnérables. La situation est encore compliquée par le fonctionnement même de 7-Zip. Ce programme ne reconnaît pas un type de fichier uniquement par son extension, mais analyse son contenu. Cela permet à une image NTFS malveillante d'être dissimulée dans une archive ZIP ou RAR classique et d'être ouverte sans problème par le programme. D'après la description, le problème est lié à un bug dans la gestion des images disque NTFS et à une mauvaise gestion de la mémoire. Un attaquant peut ainsi créer une archive contenant des données spécialement conçues pour exécuter du code malveillant. Les premiers tests montrent que des versions vulnérables sont présentes, entre autres, dans Ubuntu 24, Ubuntu 26 et RHEL 8. Le problème pourrait donc affecter aussi bien les ordinateurs des utilisateurs que de nombreux serveurs d'entreprise.