7-Zip-Lücke ermöglicht Codeschmuggel mit manipulierten Archiven

Das Kompressionswerkzeug 7-Zip enthält eine Sicherheitslücke, die Angreifern aus dem Netz ermöglicht, mit manipulierten Archiven Schadcode einzuschleusen und auszuführen. Eine Software-Aktualisierung ist verfügbar. 7-Zip-Nutzer müssen aktiv werden und sie selbst herunterladen und installieren.

Die Sicherheitsmitteilung von Trend Micros Zero-Day-Initiative erörtert die Schwachstelle. Demnach kann bei der Dekomprimierung von nach Zstandard komprimierten Datei ein Integer-Unterlauf auftreten, bevor der Code in den Speicher schreibt. Der Fehler basiert auf unzureichender Prüfung von Benutzer-übergebenen Daten und lässt sich zum Einschmuggeln und Starten von Schadcode missbrauchen (CVE-2024-11477, CVSS 7.8, Risiko "hoch").

Codeschmuggel aus dem Netz

Überzeugen Angreifer 7-Zip-Nutzer, sorgsam präparierte Archive aus dem Netz zu öffnen – etwa in Form eines E-Mail-Anhangs oder einer geteilten Datei –, können sie ihnen Schadsoftware unterschieben. Das Zstandard-Format ist vor allem unter Linux öfter im Einsatz, es steht als Option für Btrfs, SquashFS oder OpenZFS zur Verfügung. Es soll ähnliche Kompression wie Deflate (etwa via zlib oder zur HTTP-Kompression) liefern, jedoch schneller insbesondere bei der Dekompression sein.

Die IT-Forscher der ZDI haben die Schwachstelle im Juni bereits entdeckt und an 7-Zip gemeldet. Mit der Version 24.07 haben die Entwickler das Sicherheitsleck gestopft. Aktuell ist die Version 24.08 auf der 7-Zip-Webseite zum Download verfügbar.

Da 7-Zip keinen integrierten Update-Mechanismus besitzt, müssen Nutzerinnen und Nutzer der Software selbst aktiv werden und die neue Fassung herunterladen und installieren. Wer keine Spezialitäten der 7-Zip-Software benötigt, kann sie aber auch deinstallieren. Das Erstellen und Entpacken von 7-Zip-Dateien beherrscht der Datei-Explorer von Windows inzwischen von Haus aus.

(dmk)