Datenschutz & Sicherheit
7-Zip: Angreifer schleusen Schadcode ein
Im populären Packprogramm 7-Zip attackieren Angreifer eine Sicherheitslücke, die das Einschleusen von Schadcode und Ausführung mit erhöhten Rechten ermöglicht. Aktualisierungen zum Schließen des Sicherheitslecks stehen bereits länger bereit.
Weiterlesen nach der Anzeige
Vor beobachteten Angriffen auf die Sicherheitslücke CVE-2025-11001 warnt nun der nationale Gesundheitsdienst von England (National Health Service, NHS). „Aktive Angriffe auf CVE-2025-11001 wurden in freier Wildbahn beobachtet. Ein Sicherheitsforscher hat zudem einen Proof-of-Concept-Exploit (PoC) für CVE-2025-11001 veröffentlicht. Der PoC erlaubt Angreifern, das Handling von symbolischen Links zu missbrauchen, um Dateien außerhalb des vorgesehenen Ordners zum Entpacken zu schreiben, was in einigen Szenarien das Ausführen beliebigen Codes ermöglicht.“ Weitergehende Informationen zu den Attacken nennt der NHS jedoch nicht.
Ausführlichere Schwachstellenbeschreibung
Die ursprüngliche Erläuterung der Sicherheitslücke durch Trend Micros Zero Day Initiative (ZDI) war äußerst knapp. Der später veröffentlichte CVE-Eintrag liefert hingegen mehr Informationen, auch beim ZDI sind die nun zu finden. Demnach kann 7-Zip beim Verarbeiten von Archiven patzen, sodass Angreifer eine „Path Traversal“ missbrauchen können – also das Durchwandern von Verzeichnissen mit Anweisungen wie „../“ zum Zugriff auf übergeordnete Verzeichnisse. Der Umgang mit symbolischen Links in 7-Zip vor 25.00 war fehlerhaft. Dadurch konnten manipulierte Archive Code einschleusen, indem sie etwa Dienst-Dateien überschreiben und dann mit deren Rechten ausführen. Nutzerinteraktion ist erforderlich, so ein Archiv muss entpackt werden (CVE-2025-11001, CVSS 7.0, Risiko „hoch„).
Es handelt sich um eine Sicherheitslücke, die der Entwickler bereits im Juli mit Version 25.00 von 7-Zip angegangen ist. Da 7-Zip jedoch keinen integrierten Update-Mechanismus besitzt, müssen Nutzerinnen und Nutzer selbst aktiv werden und die Software auf den aktuellen Stand bringen. Sie sollten unbedingt die aktuelle Version von der Download-Seite von 7-Zip herunterladen und damit die bisher installierte Version ersetzen.
(dmk)