Dringendes Update erforderlich: Kritische Sicherheitslücken in 7-Zip entdeckt
Die beliebte Archivierungssoftware 7-Zip hat in neueren Versionen schwerwiegende Sicherheitslücken geschlossen. Da die Software keinen integrierten automatischen Update-Mechanismus bietet, ist es wichtig, manuell tätig zu werden, um sich vor potenziellen Angriffen zu schützen.
Durch die Veröffentlichung aktualisierter Installationspakete hat das Entwicklerteam von 7-Zip zwei Sicherheitslücken behoben, die es Angreifern ermöglichten, Schadcode in manipulierten Dateien einzuschleusen. Diese Sicherheitslücken ermöglichten das Ausnutzen von Opfern, indem sie speziell präparierte Dateien öffneten. Daher wird dringend empfohlen, dass alle Nutzerinnen und Nutzer die verfügbaren Updates so schnell wie möglich installieren.
Die betroffenen Sicherheitslücken wurden bereits mit Version 23.00 von 7-Zip geschlossen, die Ende Mai veröffentlicht wurde. Die aktuellste Version, 23.01, wurde im Juni veröffentlicht und steht auf der offiziellen Download-Seite von 7-Zip zum Herunterladen bereit.
7-Zip: Kritische Sicherheitslücken geschlossen
Die Sicherheitslücken wurden von der Zero-Day-Initiative entdeckt und gemeldet. Einer der Schwachstellen betraf den SquashFS-Dateiabbild-Parser, der außerhalb der zugewiesenen Speicherbereiche schreiben konnte, da die übergebenen Daten nicht ausreichend überprüft wurden. Angreifer hätten diese Lücke ausnutzen können, indem sie Opfer dazu verleiteten, manipulierte Dateien zu öffnen (CVE-2023-40481, CVSS 7.8, hohes Risiko).
Eine weitere Lücke trat auf, wenn 7-Zip-Archive verarbeitet wurden. Hier konnte ein Integer-Unterlauf auftreten, da der Code nicht ausreichend geprüft und gefiltert hat, welche Werte aus den Archiven genutzt wurden. Auch diese Schwachstelle hätte durch präparierte Archive ausgenutzt werden können (CVE-2023-31102, CVSS 7.8, hohes Risiko).
Obwohl das Changelog für Version 23.00 von 7-Zip die Schließung dieser Sicherheitslücken nicht explizit erwähnt, empfehlen die Entwickler dennoch dringend, auf die neueste Version, 23.01, zu aktualisieren.
Manuelle Aktualisierung erforderlich
7-Zip bietet keinen automatischen Update-Mechanismus, weder für manuelle noch für automatische Updates. Daher müssen Anwenderinnen und Anwender das Installationspaket selbst von der offiziellen Website herunterladen und ausführen, um ihre Software auf den neuesten, sicheren Stand zu bringen. Linux-Nutzerinnen und -Nutzer können hingegen auf die Software-Verwaltung ihrer Distribution zurückgreifen, um nach verfügbaren Updates zu suchen und diese zu installieren.
In jüngster Zeit wurden auch Sicherheitslücken in anderen Archivierungsprogrammen wie WinRAR entdeckt, die es Angreifern ermöglichen würden, Schadcode über manipulierte Dateien einzuschleusen. Dies verdeutlicht die Notwendigkeit, Software regelmäßig zu aktualisieren, um Sicherheitsrisiken zu minimieren.