Jetzt updaten! Hochriskante Sicherheitslücken in 7-Zip ermöglichen Codeschmuggel
Das Archiv-Werkzeug 7-Zip schließt mit neuer Version hochriskante Sicherheitslücken. Einen integrierten Update-Mechanismus gibt es nicht. Handarbeit ist nötig.
(Bild: Alfa Photo/Shutterstock.com)
Das Archiv-Werkzeug 7-Zip schließt mit aktualisierten Installationspaketen zwei Sicherheitslücken, durch die Angreifer Opfern Schadcode unterschieben können. Dazu reicht das Öffnen sorgsam präparierter Dateien aus. Daher sollten Nutzerinnen und Nutzer das bereitstehende Update zügig installieren.
Die Sicherheitslücken schließt bereits Version 23.00 von 7-Zip, die Ende Mai veröffentlicht wurde. Inzwischen ist Version 23.01 aus dem Juni aktuell und auf der Download-Seite von 7-Zip verfügbar.
7-Zip: Hochriskante Sicherheitslücken
Die Zero-Day-Initiative hat die Lücken gefunden und gemeldet. Einerseits kann der Parser für SquashFS-Dateiabbilder außerhalb der allozierten Speicherbereiche schreiben, da er übergebene Daten nicht ausreichend überprüft. Angreifer können die Lücke nutzen, indem sie Opfer dazu bringen, entsprechend manipulierte Dateien zu öffnen (CVE-2023-40481, CVSS 7.8, Risiko "hoch").
Beim Verarbeiten von 7-Zip-Archiven kann hingegen ein Integer-Unterlauf auftreten, da der Code Werte darin nicht ausreichend vor der Nutzung überprüft und filtert. Auch den Fehler können präparierte Archive auslösen (CVE-2023-31102, CVSS 7.8, hoch).
Das Changelog zu Version 23.00 von 7-Zip erwähnt die Korrektur von Sicherheitslücken nicht. Da inzwischen Version 23.01 verfügbar ist, sollte die Aktualisierung gleich auf diese Version erfolgen.
Kein automatisches Update
7-Zip hat keinen integrierten Update-Mechanismus, weder um manuell anzustoßen noch eine automatische Fassung. Daher müssen 7-Zip-Nutzerinnen und -Nutzer das Installationspaket selbst herunterladen und ausführen, um die Software auf den korrigierten Stand zu bringen. Unter Linux hilft hingegen die Software-Verwaltung der eingesetzten Distribution bei der Update-Suche und Installation davon.
Erst kürzlich wurden Schwachstellen im Archivprogramm WinRAR bekannt. Auch hier hätten Angreifer mit manipulierten Dateien Opfern Schadcode unterjubeln können.
Siehe auch:
- 7-Zip (Version 23.01): Download schnell und sicher von heise.de
(dmk)
