Mountain View, 17 Juli 2026
Der Archivierer 7-Zip ist in der neuen Version 26.02 erschienen und schließt eine gefährliche Sicherheitslücke, die das Einschleusen von Schadcode beim Öffnen manipulierter XZ-Archive ermöglicht.
Was die 7-Zip-Lücke so gefährlich macht
Die Zero Day Initiative (ZDI) von Trend Micro hatte die Schwachstelle öffentlich gemacht. Es handelt sich um einen Heap-Buffer-Overflow, der bei der Verarbeitung von XZ-Chunk-Daten ausgelöst wird. Laut ZDI genügt es, eine bösartige Seite aufzurufen oder eine bösartige Datei zu öffnen, um den Exploit auszulösen. „eine bösartige Seite aufrufen oder eine bösartige Datei öffnen", heißt es in dem Bericht.
Angreifer können die Lücke nutzen, um in speziell präparierten Archivdateien versteckten Schadcode auszuführen, ohne dass dies den Nutzerinnen und Nutzern auffällt. Voraussetzung ist allerdings eine Nutzerinteraktion – die Datei muss aktiv geöffnet werden. Im Erfolgsfall läuft der Schadcode dann im Kontext des aktuellen Prozesses.
Entdecker der Schwachstelle ist die ZDI. Sie wurde am 5. Juni an den 7-Zip-Entwickler Igor Pavlov gemeldet. Dieser veröffentlichte am 25. Juni mit der Version 26.02 einen Patch. Die ZDI publizierte ihr Advisory am 15. Juli. Die Release-Notes zu 7-Zip 26.02 nennen die Schwachstelle nicht beim Namen, sondern sprechen lediglich davon, dass „einige Fehler und Sicherheitslücken behoben" wurden.
