7-Zip: Hochriskante Lücke erlaubt Einschleusen von Schadcode

Im Archivprogramm 7-Zip haben IT-Forscher eine Sicherheitslücke entdeckt, die Angreifern das Einschleusen von Schadcode ermöglicht. Dazu genügt das Öffnen einer sorgsam präparierten Archiv-Datei. Ein Update zum Schließen des Sicherheitslecks steht bereit.

Das GitHub-Security-Team hat einen entsprechenden Schwachstelleneintrag veröffentlicht. In 7-Zip 26.00 können bösartige Akteure demnach einen Heap-basierten Pufferüberlauf provozieren. Bei der Verarbeitung von komprimierten NTFS-Streams kann ein zu kleiner Puffer angelegt werden, was zum Absturz der App oder sogar zur Ausführung beliebigen Codes führen kann (CVE-2026-48095, CVSS 8.8, Risiko „hoch“).

Das Verhalten der Lücke unterscheidet sich je nach Wortbreite der Systemarchitektur. 32-Bit-Builds sind in jedem Fall davon betroffen, auf 64-Bit-Systemen hängt es davon ab, wie viel RAM tatsächlich im System verbaut ist. Auf Systemen mit 16 GByte und mehr findet die Speicherallokation korrekt statt, sodass dort Schadcode eingeschleust werden kann.

Auf Systemen mit weniger Speicher kann das fehlschlagen und führt dann zu einem Denial-of-Service-Zustand. Die Meldung enthält auch Proof-of-Concept-Code, sodass Angreifer in Kürze die Schwachstelle in ihr Standard-Repertoire aufnehmen könnten.

Das SOC-Prime-Team hat einen Blog-Beitrag zur Schwachstelle veröffentlicht. Die Lücke ist dadurch gefährlich, dass Angreifer keine speziellen Dateiendungen für die manipulierten Archive nutzen müssen, um den NTFS-Handler in Aktion zu setzen. Die Endungen können auch beliebig sein, etwa .7z, .zip, .rar oder ähnliche. Wenn die dafür zuständigen Handler die Daten in der Datei nicht verarbeiten können, wendet 7-Zip eine Art MIME-Magic an und füttert den NTFS-Handler mit dem Input, weil der die Datei erkennt und verarbeitet.

Aktualisierte Software

Das Problem besteht in 7-Zip 26.00. Am 27. April 2026 erschien 7-Zip 26.01, das unter anderem diese Sicherheitslücke schließt. Da 7-Zip keinen automatischen Update-Mechanismus enthält, müssen Nutzerinnen und Nutzer sowie Admins die Aktualisierung manuell vornehmen. An der Windows-Eingabeaufforderung sollte der Aufruf von winget upgrade --all die Aktualisierung finden und installieren.

Ansonsten steht die aktuelle 7-Zip-Fassung auch auf der Download-Seite des Projekts zum Herunterladen bereit. Eine weitere Download-Seite bei Sourceforge hält zudem Updates für diverse Plattformen abseits von Windows bereit, dort finden sich auch die weiteren Änderungen gegenüber der Version 26.00.

Das Update sollte rasch erfolgen. Im vergangenen November haben Angreifer eine Schwachstelle in 7-Zip missbraucht, um damit ihren Opfern Schadcode unterzuschieben.

(dmk)