Die jetzt veröffentlichte Version 26.02 von 7-Zip beseitigt eine Schwachstelle, über die sich beim Entpacken präparierter Archive Schadcode ausführen lassen kann. Offen gelegt wurde die Lücke von Lunbun-Forscher Landon Peng. Betroffen ist die Verarbeitung von XZ-komprimierten Daten.

Wie die Zero Day Initiative in einem Hinweis erklärt, können speziell aufgebaute XZ-Daten einen Heap-basierten Pufferüberlauf auslösen. Dadurch wäre es möglich, beliebigen Code im Kontext des Nutzers auszuführen. Technische Details hat der Entwickler zur Schwachstelle bislang nicht veröffentlicht.

Rückschlüsse auf die Ursache lassen sich laut dem Quelltext der Version 26.02 dennoch ziehen. Die Änderungen deuten darauf hin, dass das Problem mit der Verfolgung des verfügbaren Speicherplatzes beim Dekomprimieren von XZ-Daten zusammenhängt. Der Patch ergänzt Prüfungen, die verhindern sollen, dass der Decoder über den verbleibenden Platz eines Ausgabepuffers hinausschreibt. Genau damit soll der Heap-basierte Pufferüberlauf verhindert werden.

Für die Ausnutzung ist nach Angaben der Zero Day Initiative eine Interaktion durch den Nutzer erforderlich. Als Beispiele nennt der Hinweis den Besuch einer bösartigen Webseite oder das Öffnen einer manipulierten Archivdatei. Da 7-Zip keine eingebaute automatische Aktualisierung besitzt, erhalten Nutzer die Korrektur nicht ohne eigenes Zutun. Das Update muss manuell von 7-zip.org installiert werden.

Im Quelltext wird hervorgehoben, dass 7-Zip zu den am weitesten verbreiteten Archivwerkzeugen unter Windows gehört. Schwachstellen in Archivfunktionen seien deshalb ein attraktives Ziel für Bedrohungsakteure. Als möglicher Verteilweg werden Phishing-Kampagnen oder Social-Engineering-Angriffe genannt, bei denen ein präpariertes Archiv verteilt wird, das die Lücke zur Installation von Malware auf verwundbaren Systemen ausnutzt.

Dass solche Angriffsszenarien nicht nur theoretisch sind, zeigt der Rückblick auf frühere Fälle im Quelltext. Anfang 2025 wurde demnach eine 7-Zip-Schwachstelle, mit der Malware die Windows-Sicherheitsfunktion Mark of the Web umgehen konnte, von russischen Hackern als Zero-Day ausgenutzt. Später im selben Jahr missbrauchte eine russische Hackergruppe zudem eine WinRAR-Schwachstelle mit der Kennung CVE-2025-8088 in Phishing-Angriffen, um die Malware RomCom zu installieren.

Berichte über eine aktive Ausnutzung der nun bekannt gewordenen 7-Zip-Lücke liegen derzeit nicht vor. Dennoch sollten Nutzer auf Version 26.02 aktualisieren, um das Risiko künftiger Angriffe zu verringern.