Im Archivprogramm 7-Zip haben IT-Forscher eine Sicherheitslücke entdeckt, die Angreifern das Einschleusen von Schadcode ermöglicht. Dazu genügt das Öffnen einer sorgsam präparierten Archiv-Datei. Ein Update zum Schließen des Sicherheitslecks steht bereit.

Das GitHub-Security-Team hat einen entsprechenden Schwachstelleneintrag veröffentlicht. In 7-Zip 26.00 können bösartige Akteure demnach einen Heap-basierten Pufferüberlauf provozieren. Bei der Verarbeitung von komprimierten NTFS-Streams kann ein zu kleiner Puffer angelegt werden, was zum Absturz der App oder sogar zur Ausführung beliebigen Codes führen kann (CVE-2026-48095, CVSS 8.8, Risiko „hoch“).

Das Verhalten der Lücke unterscheidet sich je nach Wortbreite der Systemarchitektur. 32-Bit-Builds sind in jedem Fall davon betroffen, auf 64-Bit-Systemen hängt es davon ab, wie viel RAM tatsächlich im System verbaut ist. Auf Systemen mit 16 GByte und mehr findet die Speicherallokation korrekt statt, sodass dort Schadcode eingeschleust werden kann.

Auf Systemen mit weniger Speicher kann das fehlschlagen und führt dann zu einem Denial-of-Service-Zustand. Die Meldung enthält auch Proof-of-Concept-Code, sodass Angreifer in Kürze die Schwachstelle in ihr Standard-Repertoire aufnehmen könnten.

Das SOC-Prime-Team hat einen Blog-Beitrag zur Schwachstelle veröffentlicht. Die Lücke ist dadurch gefährlich, dass Angreifer keine speziellen Dateiendungen für die manipulierten Archive nutzen müssen, um den NTFS-Handler in Aktion zu setzen. Die Endungen können auch beliebig sein, etwa .7z, .zip, .rar oder ähnliche. Wenn die dafür zuständigen Handler die Daten in der Datei nicht verarbeiten können, wendet 7-Zip eine Art MIME-Magic an und füttert den NTFS-Handler mit dem Input, weil der die Datei erkennt und verarbeitet.

Aktualisierte Software

Das Problem besteht in 7-Zip 26.00. Am 27. April 2026 erschien 7-Zip 26.01, das unter anderem diese Sicherheitslücke schließt. Da 7-Zip keinen automatischen Update-Mechanismus enthält, müssen Nutzerinnen und Nutzer sowie Admins die Aktualisierung manuell vornehmen. An der Windows-Eingabeaufforderung sollte der Aufruf von winget upgrade --all die Aktualisierung finden und installieren.

Ansonsten steht die aktuelle 7-Zip-Fassung auch auf der Download-Seite des Projekts zum Herunterladen bereit. Eine weitere Download-Seite bei Sourceforge hält zudem Updates für diverse Plattformen abseits von Windows bereit, dort finden sich auch die weiteren Änderungen gegenüber der Version 26.00.

Das Update sollte rasch erfolgen. Im vergangenen November haben Angreifer eine Schwachstelle in 7-Zip missbraucht, um damit ihren Opfern Schadcode unterzuschieben.

(dmk)

Seit über zwei Jahren feilt das BSI nun schon an der neuen Version des IT-Grundschutzes. Bislang gab es aus der Praxis viel Kritik, dass entscheidende Fragen zur Umsetzung unbeantwortet blieben – etwa, ab wann nach dem neuen Standard zertifiziert werden kann und wie es mit den Personenzertifizierungen weitergeht.

Diese Unklarheiten hat das BSI nun auf seiner Webseite beseitigt: Am 1. November startet die Fortbildung für bereits zertifizierte Berater und Auditteamleiter auf den neuen Standard. Organisationen können sich den 1. Januar 2027 im Kalender anstreichen. Ab diesem Stichtag ist die Zertifizierbarkeit nach Grundschutz++, der auf ISO 27001 basiert, offiziell gegeben.

Die guten Nachrichten für die Praxis gehen weiter: Auch die von vielen sehr geschätzten Checklisten für den „WiBA – Weg in die Basis-Absicherung“ wird es wieder geben. Sie sind laut BSI fester Bestandteil des Grundschutz auch in der neuen Version. Damit bleibt vor allem kleineren Organisationen ein vergleichsweise unbürokratischer und einfacher Einstieg in die IT-Sicherheit erhalten.

Zudem hält die Behörde an den Mindeststandards für „ausgewählte Anwendungsbereiche“ fest. Diese richten sich weiterhin maßgeblich an die Einrichtungen des Bundes (gemäß BSIG), um dort ein einheitliches Sicherheitsniveau zu gewährleisten. Offen bleibt jedoch, ob und wie diese Mindeststandards künftig für Unternehmen greifen werden, die unter die NIS-2-Richtlinie fallen. Wie hier die genaue Prüfgrundlage in der Praxis aussehen wird, lässt das BSI bislang unbeantwortet.

Ein deutlicher Wermutstropfen für alle, die sich aktuell in die Materie einarbeiten wollen, bleibt der Leitfaden zur Methodik. Die verlinkte Version verharrt unverändert auf dem Stand vom März dieses Jahres und ist nach wie vor sehr lückenhaft.

(axk)

In der zentralen Verwaltungsplattform und dem Betriebssystem für UniFi-Geräte UniFi OS Server klaffen mehrere Sicherheitslücken – teils mit Höchstwertung beim Risiko. Es stehen Updates zur Verfügung, die die Lücken schließen. Wer betroffene UniFi-Geräte einsetzt, sollte mit dem Installieren der Aktualisierungen nicht lange warten.

UniFi warnt in einer Release-Ankündigung vor den Sicherheitslücken. Angreifer mit Zugriff auf das Netzwerk können etwa an einer unzureichenden Zugriffskontrolle von UniFi-OS-Geräten ansetzen und unbefugt Änderungen daran vornehmen (CVE-2026-34908, CVSS 10.0, Risiko „kritisch“). Eine Path-Traversal-Schwachstelle ermöglicht bösartigen Akteuren zudem, auf Dateien aus dem zugrundeliegenden Betriebssystem zuzugreifen und diese zu manipulieren, um so Zugriff auf das Konto im System zu erlangen (CVE-2026-34909, CVSS 10.0, Risiko „kritisch“). Angreifer können zudem eine unzureichende Eingabevalidierung ausnutzen, um Befehle einzuschleusen (CVE-2026-34910, CVSS 10.0, Risiko „kritisch“).

UniFi OS Server: Weitere Schwachstellen

Angreifer mit Zugriff auf das Netzwerk und erhöhten Rechten können zudem eine weitere unzureichende Eingabefilterung missbrauchen, um Befehle einzuschleusen (CVE-2026-33000, CVSS 9.1, Risiko „kritisch“). Bösartige Akteure mit niedrigen Rechten und Netzwerkzugang können an einer weiteren Path-Traversal-Lücke ansetzen, um Dateien des zugrundeliegenden Betriebssystems zu manipulieren und so an sensible Informationen zu gelangen (CVE-2026-34911, CVSS 7.7, Risiko „hoch“).

Die betroffenen Geräte- und Softwarestände listet Ubiquiti in der Release-Ankündigung auf. Wer Geräte des Herstellers einsetzt, sollte prüfen, ob die eigenen Geräte betroffen sind und die Aktualisierung auf UniFi OS Server 5.0.8 sowie speziellere Geräte-Updates aus der Auflistung dort zügig anwenden.

Mitte März mussten Admins eine kritische Sicherheitslücke in der Ubiquiti UniFi Network Application durch ein Update schließen. Dadurch konnten Angreifer etwa unbefugten Zugang erlangen.

(dmk)