In der Packer-Software 7-ZIP gibt es (vor Version 25.x) die Schwachstelle CVE-2025-11001 (hatte ich bisher nicht thematisiert). Seit einigen Tagen sind Exploits bekannt und die Schwachstelle wird angegriffen. Nutzer sollten 7-ZIP also unverzüglich patchen. Problem sind aber Anwendungen, in denen alte 7-ZIP-Versionen mit ausgeliefert werden. Trifft beispielsweise für AMD Grafiktreiber zu.
Die 7-ZIP-Schwachstelle CVE-2025-11001
Im Packprogramm 7-ZIP gibt es die mit einem CVSS 3.1 Base Score von 7.0 (High) bewertete Schwachstelle CVE-2025-11001, die bereits im Oktober 2025 (erste Posts gab es bereits im Januar 2025) von der Zero Day Initiative offen gelegt wurde, aber zum 19. November 2025 modifiziert wurde. Es handelt sich um eine File Parsing Directory Traversal Remote Code Execution-Schwachstelle im Entpacker von 7-Zip ZIP.
Diese Sicherheitslücke ermöglicht es Remote-Angreifern beliebigen Code auf betroffenen Installationen von 7-Zip auszuführen. Um diese Sicherheitslücke auszunutzen, ist eine Interaktion mit diesem Produkt erforderlich, wobei die Angriffsvektoren je nach Implementierung variieren können.
Die spezifische Schwachstelle besteht in der Verarbeitung symbolischer Links in ZIP-Dateien. Speziell gestaltete Daten in einer ZIP-Datei können dazu führen, dass der Prozess in unbeabsichtigte Verzeichnisse gelangt. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um Code im Kontext eines Dienstkontos auszuführen.
Seit einigen Tagen gibt es Warnungen vor dieser Schwachstelle. Ich hatte es bereits die Tage auf X solche Warnungen vernommen. Ende Oktober 2025 wurde ein Proof of Concept zur Ausnutzung bekannt (siehe diesen Beitrag). Die britische NHS warnte zum 18. November 2025 in diesem Dokument vor einer Ausnutzung. heise hat das Problem der Sicherheitslücke im Beitrag 7-Zip: Angreifer schleusen Schadcode ein ebenfalls näher beleuchtet und warnt, dass Angreifer die Schwachstelle zum Einschleusen von Schadcode missbrauchen.
Anwendungen wie AMD-Grafiktreiber betroffen
Der 7-Zip-Entwickler hat im Juli 2025 mit der 7-Zip-Version 25.x einen Fix für sein Produkt veröffentlicht. Problem sind aber Anwendungen, die die DLLs von 7-ZIP beinhalten und diese noch nicht aktualisiert haben. Ein Blog-Leser hat gerade im Diskussionsbereich des Blogs darauf hingewiesen (danke dafür), dass dies auch den aktuellen AMD-(Grafik-)Treiber betreffe, wo eine unbekannte 7-zip Backdoor in den Dateien 7z.exe und 7z.dll enthalten sei. Die Dateien finden sich im Verzeichnis:
C:\Program Files\AMD\AMDInstallManager
Dort werde von AMD die alte 7-Zip 24.x-Version dort installiert. Nutzer von AMD-Treibern sollten die oben genannten Dateien unbedingt sofort per Hand gegen die 25.01 Version austauschen.
MVP: 2013 – 2016
7-zip v 25.00 was die Lücke schloß ist vom 5.7.2025! Wer das also noch immer nicht gepatcht hat, hat es nicht anders verdient.
Wenn du die aktuelle 7-zip installiert hast sollte das mit AMD und Co auch kein Problem sein da da die aktuelle installierte 7zip aufgerufen wird. (ist hier zumindest so)
Probleme gibts es da wo kein 7zip installiert ist. da greift ein Aufruf natürlich auf die beiligende Version zu. Muss sich da aber die Malware auch erstmal selbst aufs System holen indem man ne verseuchte Datei downloadet und ausführt. Einfach so als driveby ist nicht.
Und wer einfach so überall downloadet und diesen nicht vorher prüft… naja siehe oben!
"Wer das also noch immer nicht gepatcht hat, hat es nicht anders verdient."
Welch interessante Meinung. Du gehst also davon aus, dass immer alle Menschen über alle verfügbaren Updates informiert sind? Mit welcher Magie schaffst du das? Und woher wusstest du schon im Juli, dass es sich um eine kritische Lücke handelt? Sourceforge ist nicht gerade gut zugänglich, um Bugs im Blick zu behalten. Die Lücke wurde dort auch nur im letzten Satz abgehandelt, ohne klar das Problem zu benennen. 7-zip ist auch nicht so wichtig, dass man das Tool ständig im Monitoring hätte.
Und die ganzen Privatmenschen, die einfach nur Anwender sind, erfahren von der Lücke ohnehin nie. 7-zip hat schließlich keinen eigenen Update-Mechanismus und wer liest als normaler Mensch schon IT-News.
Daher: deine Aussage ist ziemlich besserwisserisch.
Auf Heise war vor kurzem eine spannende Diskussion: Da hat jemand gefragt, warum selbst Applikationen aus dem Profi-Bereich oft monatelang nicht gepatched werden. Die Antwort der IT-Mitarbeiter: Meist scheint es ganz simpel an fehlenden Support-Verträgen zu liegen.
Als kleine Ein-Mann-IT habe ich eine andere Denke, andere Tools und ganz andere Kunden. Bei mir ist die Lücke zufällig schon lange gepatched, obwohl mir natürlich nicht klar war, dass es sich um ein schweres Problem handelt.
Große IT-Firmen kalkulieren offensichtlich anders. Da gehen viele Sicherheitslücken durch. Gerade habe ich in einer Arztpraxis einen Computer zur Verarbeitung von Patientendaten entdeckt, der immer noch Windows 7 hatte und mit dem Internet verbunden war. Solche groben Patzer kann ich aus meiner Sicht nicht nachvollziehen, aber ich muss auch keine große Firma verantworten.
Ich bin froh, dass ich auf Augenhöhe mit meinen Kunden kommunizieren kann und wir ein partnerschaftliches Verhältnis haben.
"Und wer einfach so überall downloadet und diesen nicht vorher prüft… naja siehe oben!"
Examinierst du wirklich jeden Download, selbst wenn er aus vertrauenswürdiger Quelle kommt? Du musst enorm viel Zeit übrig haben… Wie lange brauchst du, bis du ein Treiber-Update analysiert hast? Wie lange brauchst du für ein Browser Update? Schaffst du das rechtzeigtig, bevor eine Sicherheitslücke ausgenutzt wird?
Im Gegensatz zu 7-Zip aktualisiert sich NanaZip (7zip fork) automatisch.
Hilft aber nicht, wenn das im Programmverzeichnis der Anwendung liegt und nicht im Programmverzeichnis von 7-ZIP oder NanaZip.
Denn die Automatik schaut nur ins Programmverzeichnis von NanaZip und schaut nicht, wo sonst noch im System entsprechende .exe oder .dll herumliegen.
Aber manche Firmen sind auch extrem stur.
Ich habe Anfang letzten Jahres eine Firma angeschrieben, weil in deren Anwendung eine mehrere Jahre veraltete Datenbankengine zum Einsatz kommt, die auch Sicherheitslücken (CVE bis 7.8) hat.
Es hat sicher 2 Wochen gedauert, bis die mir geantwortet haben.
Geschrieben hatten die, das bis Sommer auf die aktuelle Version umgestellt werden soll.
Bis heute ist da nichts passiert!
Wird uns dann auch kaum noch interessieren, denn ein Umstieg auf eine vergleichbare Anwendung eines anderen Anbieters ist schon geplant.
Stimmt, wenn das jemand (wie hier auch AMD erwähnt wurde) bei sich mit einbaut, hift das natürlich nicht.
Vielleicht etwas zu übergreifend, aber ich war es leid unter Windows die ganzen Apps manuell aktuell zu halten. Gerde auch, weil ich manche Apps nur selten nutze und dann bei Nutzung auch keine Lust habe die erst zu aktualisieren.
Daher nutze ich seit längerem nur noch winget. Dessen Package-Repository ist verblüffend umfangreich.
Für ganz Faule einfach täglich "winget upgrade -h –all" (vor all sind 2 Bindestriche!) in einer privilegierten CMD/PS ausführen.
Ansonsten einfach mal über winget selbst informieren.
Guter Input. Danke.
Noch viel besser, diese beiden hier installieren, beide kostenlos:
https://patchmypc.com/product/home-updater/
https://www.marticliment.com/unigetui/
Beide so einrichten, dass sie die Updates automatisch im Hintergrund aktualisieren, aber zeitlich so abstimmen, dass die sich nicht in die Quere kommen. Denn 2 Installationen gleichzeitig funktionieren bekannterweise nicht. Und schon musst du dich als Privatperson oder kleine Firma um 90% deiner eingesetzten Software nicht mehr kümmern, passiert alles im Hintergrund, auch 7-Zip, alle gängigen Browser und vieles mehr, gerade auch aus der Opensource-Szene und dutzende beliebte Tools.
UnigetUI benutzt im Hintergrund auch winget, es aktualisiert cmdlets aus der Powershell-Gallery, es nutz chocolaty, scoop, aktualisiert npm und php Bibliotheken und noch viel mehr. Es ist aber darauf angewiesen, dass die Softwareanbieter, die es zur Aktualisierung nutzen wollen, in die entsprechenden Repositories einbinden.
PatchmyPC Homeupdater dagegen ist ein Ableger eines entsprechenden Patchmanagement für Firmen, der sich in MECM bzw. Intune-Update einklingt. PatchMyPC hat ein eigenes Team, dass Homepages usw. der Hersteller täglich nach Updates abgrast und so die direkten Download-Ressourcen von diesen einbindet. Daher stehen darüber automatisierte Updates sehr schnell bereit, meistens bevor die beim BSI und EUVD in der CVE-Liste auftauchen, und schneller als wie der Born und andere Autoren darüber berichten können. Die kommerzielle Version für Firmen unterstützt mehrere Tausend Programmpakete, die Homeupdater-Version immerhin um die 600 herum. Tendenz steigend. PatchMyPC aktualisiert auch Portable-Apps, die von anderen Tools normalerweise übersehen werden.
Beide Tools ermöglichen es auch, neue Software über die GUI wie in einem Appstore zu installieren, eine Liste der installieren Programme zu exportieren, auf einem anderen PC wieder zu importieren, um so eine Art halbautomatisches Deployment von selbstdefinierten Programmpaketen zu erreichen.
Beide Tools haben eine gewisse Schnittmenge bei der Software, die darüber automatisiert aktualisiert und installiert wird, aber keines der beiden Tools deckt auch nur annhähernd den kompletten Katalog des anderen Tools ab, so dass es sich wirklich empfiehlt, beide laufen zu lassen.
Bei mir ist es so eingestellt, dass zuerst Patchmy-PC aktualisiert, und dann 1 Stunde später UniGetUI, was dann aber kaum noch was zu tun bekommt.
Patchmy PC findet aber ab undzu mal angeblich "veraltete" Versionen, obwohl bereits die aktuelle version installiert ist (und nein Beta sind deaktiviert)
Also auch nicht wirklich zuverlässig!
Gut zu gebrauchen um nen schnellen Überblick zu kriegen…
geht halt nix über brain2.0.exe!
Ja, so was ähnlichges konnte ich kürzlich mit Librecad beobachten. PatchMyPC hat es die letzten Wochen mehrfach versucht, zu aktualisieren und es gab am Ende immer Fehler. Die Version blieb die Alte. Warum, konnte ich nicht klären, habe letztlich den Installer manuell runter geladen und überinstalliert, seit dem ist Ruhe. Aber wenn mal ein Programm nicht zuverlässig aktualisiert wird, ist das immer noch besser, als alles mögliche immer manuell – oder nie – zu aktualisieren. Man bekommt ja mit, wenn mal was schief läuft, und kann mal eingreifen.
Also bei mir hat PatchMyPC auf mehreren Rechnern reproduzierbar teilweise die Englischen Versionen der Programme installiert. Für mich daher unbrauchbar. Nur so als Hinweis für andere Benutzer.
Kenne ich auch von Thunderbird und Firefox, ist früher tatsächlich mal passiert, aber die deutschen Sprachdateien waren da oder ließen sich innerhalb der Anwendungen in den Einstellungen aktivieren bzw. nachinstallieren. Besser nur Sprache kurzzeitig falsch, statt Sicherheitslücken zu haben.
Irfanview stellt sich nach Updates auch immer erstmal auf Englisch um, auch wenn man es manuell aktualisiert.
Dann lag es also nicht an mir ;-)
Ich bleibe daher beim manuellen Update. Inzwischen haben viele Programme eh einen automatischen Updater integriert.
genial, vielen Dank!!!
Tipp für Windowsnutzer: "Patch my PC"
Die Software ist für Heimgebrauch kostenlos.
Die überwacht automatisch mehr als 500 gebräuchliche SW-Pakete, ob sie aktuell gepatched sind und warnt dann. Seit ein paar Monaten kann das im Hintergrund mitlaufen und man muss nicht mehr dran denken, das regelmässig von Hand zu starten, um den Status zu prüfen.
früher gabs noch SuMo, aber das gibts nicht mehr für Heimnutzer.
Winget hatte bei mir immer wieder Seiteneffekte. Man muss zur Sicherheit alle selbst installierten Versionen deinstallieren und alles über winget abwickeln. Zuletzt hat es auf einem Rechner die Powertoys Installation so verhauen, dass sie nicht mehr aktualisierbar ist. Offensichtlich sind sich der interne PT Updater und ein winget Update in die Queere gekommen. Mit winget habe ich auch oft unerwünschte Versionen bekommen, z.B. falsche Architektur- oder Sprachversionen. Der größte Haken ist aber das Repository. Über vergiftete winget Pakete kann ein Angreifer viel Unsinn anstellen. Sobald das Community Repo rangezogen wird, gibt es kaum noch (Sicherheits-)Kontrolle.
So begeistert ich am Anfang war: inzwischen bin ich von winget wieder weg gekommen. Für mich ist das wieder ein nicht konsequent zu Ende gedachter Microsoft Ansatz. Das wird vor allem deutlich im Vergleich mit Linux Paketmanagern. Dort habe ich mehr Kontrolle, mehr Sicherheit (bei Beachtung der Quelle) und keine Installationskonflikte.
Danke für die Info, Günther!
Das Verzeichnis "C:\Program Files\AMD\AMDInstallManager" reicht nicht aus.
AMD hat die Dateien noch anderswo abgelegt:
– C:\Program Files\AMD\CIM\Bin64
– C:\Program Files\AMD\CNext\CNext
Der Austausch dort war auch problemlos möglich.
Danke an Carsten und Günter!
Danke, das CIM gibts hier auch. Da hab ich am Montag was zu tun :-/
Das ist wohl ein Fall für ein langes robocopy-command im Loginscript.
#Carsten
7z.exe bzw. 7z.dll alte unsichere Version 24.09 hier gefunden:
C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Dprt\x64
C:\Windows\WinSxS\amd64_windows-senseclient-service_31bf3856ad364e35_10.0.26100.7019_none_44121aa43f1b083f
C:\Program Files\AMD\AMDInstallManager
wenn nur AMD Treiber installiert, sonst wenn AMD FULL-Install dann auch noch hier:
C:\Program Files\AMD\CIM\Bin64
C:\Program Files\AMD\CNext\CNext
Stimmt.
Im ersten Pfad ist die 24.09, aber Dateidatum Oktober 2025!
Da gabs schon die 25.01.
Die 25.01 kam Anfang August raus!
Was reitet Microsoft, total veraltete Sachen zu installieren?
Und das ist ja nicht das erste mal.
Bei Microsoft hat es Methode, wenn Fremdsoftware mit Windows ausgeliefert wird, das diese meist veraltet ist.
Und austauschen kann man den veralteten Kram i.d.R. auch nicht, da das die Systemüberwachung erkennt und dann wieder seine alte Version installiert.
was ist mit alten 7zip dll ? habe die neuste version von 7zip drauf sehe aber zb eine 7z1900.dll unter einer applikation.
Hängt davon ab wie du installiert hast. Hast du die aktuelle 7zip per installer installiert und die ist ordentlich in der Regestry eingetragen wird bei einem Aufruf diese (aktuelle) verwendet… nutzt du die als portabel app hast du Pech, dann wird die jenige Version welche mit dem entsprechenden Paket mitgeliefert wird verwendet. Hast du 7zip gar nicht installiert wird ebenfalls die im Paket mitgelieferte Version verwendet.
Aber daas kann auch nur ausgenutzt werden, wenn du dir nen verseuchtes Paket runterlädst und ausführt… einfach so drive by ist nicht! Also Augen auf wo du was lädst und erst prüfen!
das verseuchte paket müssen dann aber auch die portable oder die alte version ansprechen oder? als im pfad oder sie selber mitliefern. Wo dann endpoint protection greifen könnte bzw applocker.
oder generell sie selber dann installieren und auf aktuell halten? wäre ja egal wo eine alte versteckt sein könnte, die beste lösung, oder sehe ich das falsch?
ein verseuchtes Paket bring im allgemeinen eine anfällige veraltete Version mit die dann genutzt wird oder greift eben auf so Stellen zu wo bekannt ist das veraltete Versionen beinhaltet sind, wenn 7zip nicht in der regestry ordenlich eingetragen ist. Also bei poratbel oder eben nicht installiert!
Hast du 7zip richtig installiert (also nicht als portabel version) trägt die sich ordentlich in die Regestry ein inkl. Path und ein 7zip Aufruf führt dann die installierten und hoffentlich von dir aktuell gehaltene Version aus. Somit dann safe. Gilt natürlich auch nur wenn du den 7zip installer nicht aus dubiosen Quelle lädst!
hey das meinte ich. Sollte man dann nicht generell überall 7zip sauber installieren, damit egal wo die alten sich verstecken , immer die neuste version aufgerufen wird? Überlal kann man die gar nicht auswechseln, wenn ich sehe , wie oft die überall mit drin hängt.
Könnte hier eine Supply-Chain-Problematik vorliegen? Ich meine, dass ein anderes Programm die veraltete 7-Zip-DLL in seinem eigenen Programmverzeichnis mitinstalliert und diese nicht aktualisiert wird?
So etwas ist momentan selbst mit der Windows-Installation an sich ein Problem, in System32 liegt eine inzwischen veraltete curl.exe, für die zwei CVEs mit recht hohem CVSS Score bekannt sind. Mal sehen, wann Microsoft das merkt.
Das Problem bei der curl von Microsoft ist, das es nicht die originale curl ist, sondern eine von Microsoft stark abgespeckte Version.
Viele Sachen, die die reguläre curl-Vwrsion unterstützt, kann die mit Windows mitgelieferte curl nicht.
Beispielsweise http/2 und http/3 kann die Microsoft curl nicht.
https://curl.se/windows/microsoft.html
Nicht unbedingt.
Es gibt auch Frickler, die die Pfade hardcoden, d.h. die Programme kümmern sich nicht um Registry- oder Systemeinstellungen, sondern nehmen immer die Datei aus dem gleichen Pfad.
Microsoft gehört auch zu diesen Fricklern.
Bei Microsoft gibt es z.B. die Systemvariablen %temp% und %tmp%.
Damit kann man das Temp-Verzeichnis z.B. auf ein anderes Laufwerk umbiegen.
Aber selbst bei Microsoft werden diese Systemvariablen oft ignoriert und statt dessen wird stur C:\Windows\Temp oder %windir%\temp genommen.
Insbesondere bei Updates passiert das oft.
Die Frickler von AMD "lieben" generell veralteten Schrott, vor allem wenn der wegen der bereits vom Win32-API bereitgestellten Schnittstellen überflüssig ist: siehe beispielsweise "C:\Program Files (x86)\AMD\Chipset_Software\QT_Dependencies\Setup.exe"
JFTR: von M$FT seit 30 Jahren verwendete *.CAB sind KAUM grösser als *.7z!
Am Rande: Deutschland soll kein russisches Gas mehr kaufen und keine Kaspersky-Produkte mehr verwenden, aber die gefühlt gesamte Windows-Republik verlässt sich auf ein unappetitliches Stück Software, das unter Lieferkettensicherheitsgesichtspunkten eine Katastrophe ist. Mindestens eine gründliche Untersuchung durch BSI und Fraunhofer SIT wäre einmal geboten. Nicht umsonst gibt es unter OpenBSD und FreeBSD Base kein 7-Zip. Man kann auch mit anderem kompromieren und das Argument 'bessere Kompression' ist einfach nur lächerlich in einer Welt, in der 'Heute geschlossen'-Ladenschilder mit netto 17 Zeichen als verfettetes .docx-Format verfasst und gespeichert werden.
Und WinZip oder WinRAR ist da auch nicht besser und hatte auch schon seine Lücken (auch unter Linux). Was willst du denn? Der Entwickler hatte prompt auf die Lücke reagiert und diese bereits seit mehreren Monaten geschlossen… Wenn der User zu dumm ist, Updates einzuspielen, kann man das kaum der Software/dem Entwickler anlasten! Auch nicht, wenn der User so dumm ist, überall jeden Scheiß ungeprüft herunterzuladen und auszuführen.
Da schützt dich Linux im Übrigen auch nicht, wenn die Malware Rootrechte möchte und der User so dumm ist, sie zu gewähren! Die größte Lücke sitzt eben immer noch zwischen Keyboard und Stuhl!
Diese Lücke ist wie bekannt unpatchbar.
+ Betr. "Was willst du denn? Der Entwickler hatte prompt auf die Lücke reagiert":
Für ein solches Stück Software mit einem derartigen Durchdringungsgrad mehr Entwickler, mehr Code Reviewer und niemanden aus Russland (ich habe nichts gegen Russen). Im übrigen: Hat er die Lücke selbst erkannt? Und im weiteren: Ich werde insb. nach dem Klopper, den er sich in 2018 leistete, das Gefühl nicht los, dass die Lücken beauftragt worden sein könnten und die Kuh solange gemolken wird, wie sie Milch gibt, um dann mit unschuldiger Miene einen Patch zu liefern.
+ Betr. "im Oktober 2025 (… ) von der Zero Day Initiative offen gelegt …":
Was habe ich ich nicht verstanden? Monate nach einem erfolgten Patch kommt eine Initiative mit 'ach übrigens, wir haben hier einen Zero-Day-Exploit' angestunken. Da stimmt doch was nicht von der Abfolge oder in der Begrifflichkeit.
xz , die bekannte Komprimierungs-Lib von Linux, war vor nicht allzulanger Zeit auch von einer gravierenden Sicherheitslücke betroffen. Inzwischen zwar gefixt, aber wohl beflissentlich vergessen? Linux ist hier Windows keinen Millimeter vorraus, es kann jederzeit wieder passieren, dass solch prominente Betriebssystem-Bestandteile von Sicherheitslücken betroffen sind. Trotz Open-Source-Philosphie!
https://www.akamai.com/blog/security-research/critical-linux-backdoor-xz-utils-discovered-what-to-know
Das ist gerade anderthalb Jahre her.
Betr. "Linux ist hier Windows keinen Millimeter vorraus,":
Ich sprach von speziellen BSD-Varianten, nicht Linux.
Und du glaubst, BSD macht das besser? Dort gibts ja noch weniger Entwickler als in der Linux-Community. Die müssen viel Quellcode vor allem abseits der Kernkomponenente Kernel aus der Linux-Community übernehmen.
Kaspersky Internet Security 21.3.10.391 habe ich Installiert. Es hat mich über das 7-Zip Update auf die Version 25.01 benachrichtigt. Des weiteren informiert es mich auch über Updates vom VLC Mediaplayer.
Finde das Praktisch. Sonst würde ich das ein oder andere Update garantiert verpassen.
Auch Microsoft (unbedeutender als AMD?) bietet bei mir (W11 25H2 26200.7171) 7z.dll noch in der Version 24.9 in "C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Dprt\x64l" an.
Diese DLL befindet sich auch noch in einigen
C:\Windows\WinSxS\amd64_windows-senseclient-service_*-Verzeichnissen.
Auch MS-Edge/-WebView nutzen wahrscheinlich 7z (lassen mich Dateien namens "msedge_7z.data" vermuten).
(In von Intel-Grafikinstallern kurzzeitig geöffneten Fenstern sah ich auch schon kurzzeitig Entpackungen mit 7z auftauchen, habe jetzt aber gerade keine Lust auf weitere Nachforschungen.)
tj das als ob da Problem nur die 7z.dll wäre. Generell nehmen Firmen wie Microsoft, ADM, Broadcom und zig andere irgendwelche OpenSource Komponenten her, sofern es die Lizenz zulässt, und stopfen es in ihre kostenpflichten Produkte rein. Gepatched werden die Lücken der mit gelieferten OpenSource Komponenten aber eher gar nicht.
Fakenews! Zumindestens zum Teil. Einfach mal selber nachvollziehen…
Microsoft Windows [Version 10.0.26200.7171]
(c) Microsoft Corporation. Alle Rechte vorbehalten.
C:\Users\xxxxx>cd \Windows
C:\Windows>dir /s *7z* | find /i "7z"
Datei nicht gefunden
C:\Windows>dir /s *7-z* | find /i "7-z"
Datei nicht gefunden
C:\Windows>cd "\Program Files"
C:\Program Files>dir /s *7z* | find /i "7z"
03.08.2025 07:00 1.906.176 7z.dll
03.08.2025 07:00 575.488 7z.exe
03.08.2025 07:00 214.528 7z.sfx
03.08.2025 07:00 193.536 7zCon.sfx
03.08.2025 07:00 998.912 7zFM.exe
03.08.2025 07:00 722.944 7zG.exe
09.07.2015 03:21 197.024 Ps7ZCfgS.dll
19.08.2025 10:56 212.480 TC7Z.SFX
19.08.2025 10:56 901.120 TC7Z64.DLL
19.08.2025 10:56 476.832 TCBIT7Z64.DLL
19.02.2025 14:31 883.977 lib_zpropac.7Z7FXXRPUBCDM5VRA7TWVJ4QG6ALQW2P.gfortran-win_amd64.dll
19.02.2025 14:31 883.977 lib_zpropac.7Z7FXXRPUBCDM5VRA7TWVJ4QG6ALQW2P.gfortran-win_amd64.dll
08.06.2023 16:46 1.167.872 7z.dll
08.06.2023 16:46 513 7z.dll.manifest
08.06.2023 16:46 331.776 7z.exe
08.06.2023 16:46 0 7z.exe.ignore
08.06.2023 16:46 513 7z.exe.manifest
08.06.2023 16:46 1.927 7zip.license.txt
C:\Program Files>dir /s *7-z* | find /i "7-z"
15.08.2025 12:23 7-Zip
Verzeichnis von C:\Program Files\7-Zip
03.08.2025 12:00 125.118 7-zip.chm
03.08.2025 07:00 101.888 7-zip.dll
03.08.2025 07:00 67.584 7-zip32.dll
Die mit dem Dateidatum in 2025 liegen im 7-Zip-Installationsordner.
Ps7ZCfgS.dll gehört zum Intel.Wifi-Treiber. Die Datei ist von Intel signiert, hat wohl nichts mit 7-Zip zu tun.
Die Dateien mit Dateidatum 2023 liegen in einem Ordner, der mir jetzt echt zu denken gibt, hier müsste eine größere Geschichte gemacht werden, sie liegen in
C:\Program Files\WingetUI\choco-cli\tools
Dass ist nicht das, was du behauptest, aber es ist schockierend. Ich versuche gleich mal die Leute von UniGetUI darüber zu informieren.
Zumindestens so weit… Stirnrunzeln auch hier:
C:\Program Files>cd "\Program Files (x86)"
C:\Program Files (x86)>dir /s *7z* | find /i "7z"
10.10.2023 11:10 1.168.320 7z.dll
10.10.2023 11:10 314.304 7z.exe
08.03.2024 09:34 373.744 lib7zg.dll
10.10.2023 11:10 1.439.168 7z.dll
10.10.2023 11:10 300.992 7z.exe
21.10.2025 07:02 1.162.248 7za.exe
21.10.2025 07:02 1.162.248 7za.exe.hpsign
23.06.2015 14:47 947.712 7z.dll
23.06.2015 14:47 187.904 7z.exe
23.06.2015 14:49 990.482 SupportFiles.7z
09.07.2015 11:25 947.712 7z.dll
09.07.2015 11:25 187.904 7z.exe
09.07.2015 11:27 1.049.369 SupportFiles.7z
01.07.2015 16:13 947.712 7z.dll
01.07.2015 16:13 187.904 7z.exe
01.07.2015 16:14 1.080.468 SupportFiles.7z
01.10.2015 14:01 947.712 7z.dll
01.10.2015 14:01 187.904 7z.exe
01.10.2015 14:05 1.257.259 SupportFiles.7z
18.11.2010 18:27 275.456 7za.dll
23.09.2006 21:08 33.982 7Z.ico
22.11.2025 08:49 3.613 msedge_7z.data
02.11.2025 04:53 3.613 msedge_7z.data
15.11.2025 08:11 3.606 msedge_7z.data
20.11.2025 07:48 3.624 msedge_7z.data
22.11.2025 08:49 3.613 msedge_7z.data
02.11.2025 04:53 3.613 msedge_7z.data
15.11.2025 08:11 3.606 msedge_7z.data
20.11.2025 07:48 3.624 msedge_7z.data
22.11.2025 08:49 3.613 msedge_7z.data
23.06.2015 14:47 947.712 7z.dll
23.06.2015 14:47 187.904 7z.exe
23.06.2015 14:49 990.482 SupportFiles.7z
01.07.2015 16:13 947.712 7z.dll
01.07.2015 16:13 187.904 7z.exe
01.07.2015 16:14 1.080.468 SupportFiles.7z
20.09.2007 18:34 89.088 7z.fmt
15.09.2006 11:10 169.984 7zxa.dll
C:\Program Files (x86)>dir /s *7-z* | find /i "7-z"
08.08.2018 15:16 640.512 7-zip32.dll
Auch hier besteht Handlungsbedarf:
C:\Program Files (x86)\AOMEI Partition Assistant
Die hier kann man wahrscheinlich einfach löschen, gut ist es aber trotzdem nicht:
C:\Program Files (x86)\InstallShield Installation Information\{E1646825-D391-42A0-93AA-27FA810DA093}
C:\Program Files (x86)\InstallShield Installation Information\{A9CEDD6E-4792-493e-BB35-D86D2E188A5A}
C:\Program Files (x86)\NSIS Uninstall Information\{A9CEDD6E-4792-493e-BB35-D86D2E188A5A}
Aus den Dateieigenschaften und sonstigen Dateien in den Verzeichnissen geht nicht hervor, von was diese Dateien stammen. Vielleicht über die Registry über diese kryptischen {Schlüssel}, daber darauf habe ich jetzt keine Lust, und diese Schlüssel werden auf jedem PC wahrscheinlich individuell sein.
Auf der Arbeit bin ich immerhin in der Lage, für diese Muster eine Applocker-Policy mit Sperren zu erstellen. Morgen…
C:\Program Files (x86)\InstallShield Installation Information\*\*7z*.exe
C:\Program Files (x86)\NSIS Uninstall Information\*\*7z*.exe
Privat hilft wohl nur ein del /s *7z*.exe und del /s *7z*.dll in InstallShield Installation Information und NSIS Uninstall Information.
Und AOMEI und UniGetUI bekommen gleich eine Mail… :(
E1646825-D391-42A0-93AA-27FA810DA093
ist die GUID von
"CyberLink PowerDirector"
A9CEDD6E-4792-493e-BB35-D86D2E188A5A
ist die GUID von
"CyberLink YouCam"
Dann schicke du also zusätzlich eine eMail an Cyberlink.
Wenn du etwas aus den InstallShield- oder den NSIS -Ordnern löscht, dann funktionieren die Uninstaller- oder Repair-Funktionen für diese Programme nicht mehr richtig.
"Wenn du etwas aus den InstallShield- oder den NSIS -Ordnern löscht"
Guter Einwand. Mir aber egal. Ist schon gelöscht. Meine Programm-Installationen sind wohl überlegt und ich sehe keinen Grund, CyberLink zu deinstallieren. Danke aber fürs Nachsehen.
Danke für den Tipp mit Applocker, done. (Man könnte noch "\*\" durch "\{*}\" feiner machen, aber so ist es auch fein.
Die üblichen
VerdächtigenKleinkinder, die nicht mal ihren vollen Namen schreiben können, verbreiten in ihrer grenzenlosen Ahnungslosigkeit auch hier wieder SCHWACHSINN: Anwendungen laden sowohl andere Anwendungen (unabhängig von der optionalen Endung .exe ihrer Progrmmdatei) als auch DLLs (unabhängig von der optionalen Endung .dll ihrer Datei) aus dem PFAD: siehe https://msdn.microsoft.com/en-us/library/ms684184.aspx, https://msdn.microsoft.com/en-us/library/ms685090.aspx, https://msdn.microsoft.com/en-us/library/ms682586.aspx und https://msdn.microsoft.com/en-us/library/ms682425.aspx sowie https://skanthak.hier-im-netz.de/!execute.htmlGeht mal manuell zu diesem Ordner:
C:\Program Files\Windows Defender Advanced Threat Protection
Classification
Dprt
x64
dort ist hier in jeder Win11(7171) Pro die alte 24.09 (7z.dll)
und das im Windows-Defender, na dann mal "gute n8" Windows.
C:\>cd "C:\Program Files\Windows Defender Advanced Threat Protection"
Das System kann den angegebenen Pfad nicht finden.
Vielleicht in einer Enterprise Ex-Lizenz Installation?
Würde es allerdings nicht besser machen. Checke ich morgen mal. Wir haben E5.
Diesen Ordner gibt es auch bei Windows 10 IoT Enterprise LTSC 2021, Build 19044.6575.
Darin liegt die 7z.dll Version 24.09 mit Dateidatum 17.10.2025.
Selber schuld, wenn man privat sowas einsetzt. :P Einen PC im (m)ATX-Gehäuse Gehäuse auf ein Win 11 taugliches ausreichend flottes Mainbaord plus CPU aufzurüsten, kostet maximal 250 Euro Material. "Mein PC ist nicht Win 11 tauglich" ist in vielen Fällen eine billige Ausrede, gerade unter den Spezialisten, die hier so einen Blog lesen. Und diese Spezialisten hier sind auch in der Lage, Win 11 so einzustellen, dass die ganzen Argumente, die hier gegen Win 11 sprechen, durch die Registry, Installation von ExploderPatcher, Openshell und Co in einen Zustand zu bringen, mit dem sie leben können. Für die 250 Euro bekommt man auch (z.B. auf kleinanzeigen.de) komplette funktionsfähige gebrauchte Fertig-PCs mit CPUs ab Intel Core-i 8th Gen oder genauso alte AMD, die alle Win 11 tauglich sind (z.B. Dell Optiplex/Precision Serie), wenn man sich den Mainboard-Umbau nicht zutraut. Die SSD mit der Win 10/11 Installation an das neue Mainboard anstöpseln bekommt man auch mit 2 linken Händen hin, in der Regel sollte das dann auch innerhalb von 30 Minuten (es durchläuft dann eine umfangreiche Hardwareerkennung) bis in den Desktop booten, selbst wenn man zwischen Intel und AMD wechselt. Und kaum ist der Desktop da, schon poppt das Win 11 Update auf, das ist jedenfall meine Erfahrung. Kleine Challenges sind höchstens, wenn man vorher schon einen TPM 1.2 hatte, dass Windows dann erstmal darüber meckert, muss man dann halt bestätigen, wenn man hat, auch per Anmeldung am MS-Account.
Es gibt Situationen, in denen ist Windows 11 einfach keine Option. "Windows 10 IoT" wird meist in IoT Geräten eingesetzt, da bastelt man kein anderes Mainboard rein.
Hier nutzen viele IoT auf normalen Desktop-PCs und Notebooks als noch supportete Alternative.
Und was hat das jetzt genau mit IoT Geräten zu tun?
Es geht gar nicht darum, ob der PC für Windows 11 tauglich ist, sondern darum, dass Windows 11 nicht tauglich ist.
Ich finde Windows 11 geradezu abstoßend schlecht.
Das hast du sicher auch schon zu Windows 10 gesagt, als du noch 7 benutzt hast. Und du hast es über Windows XP gesagt, als du noch 2000 benutzt hast.
Ich habe seit Win 3.11 jeden Zwischenschritt mit gemacht, und es eigentlich nur mit Vista ohne Servicepack bereut. Selbstz mit 8 und 8.1 bin ich zurecht gekommen, weil es Classicshell (heute Openshell) gab. Auch "ME" "ging", wenn man auf MS-DOS-Anwendungen und Spiele verzichten konnte.
Mach die Schritte schön weiter mit, immer weiter in den goldenen Käfig hinein…
Nö.
Ich habe hier Win10 Pro, keine Enterprise-Version.
Und bei mir ist der Pfad und auch die 7z.dll vorhanden.
Einfach mal anstatt "Program Files" (so der echte Name) "Programme" nehmen (so der lokalisierte und im Explorer angezeigte Name).
Aus meiner Sicht eine völlig überflüssige Diskussion diese Datei zu ersetzen die AMD da hin packt.
Die ruft doch keiner auf?!
Wenn ein Prozess auf dem Rechner diese Datei starten kann, dann kann er auch selbst alles machen was die Lücke ermöglichen würde.
Oft wird überreagiert statt zu Ende zu denken.
Aber statt einfachem Aufruf kann es auch Szenarien geben, in denen man z.B. dem AMDInstallManager via man in the middle oder per DNS poisoning o.ä. eine modifizierte 7zip Datei unterschieben könnte, daher ist im Grunde jede einzelne Lücke, auch wenn sie erstmal unnutzbar erscheint, eine Lücke zu viel.
Nein. Falsch.
Falls du dir per Mail etc. einen Schädling einfängst, braucht der nicht mal eigenen Schadcode, der vom Antivirus erkannt werden könnte, mit zu bringen, sondern du machst einen Scan über die Platte, findest ein verwundbares 7Zip und bist "drin".
"Living off the Land" oder "Fileless malware" Angriff nennt man das.
Achtung, jetzt kommt eine Fortbildungsmaßnahme:
https://www.cisa.gov/resources-tools/resources/identifying-and-mitigating-living-land-techniques
Ursache des Problem sind die in Klitschen wie Microsoft, AMD, Intel, Mozilla und VIELEN weiteren OHNE elterliche Aufsicht frickelnden Kinder, die OHNE Not bzw. aus Dummheit oder Unkenntnis der in Windows ab Werk vorhandenen Schnittstellen (die *.CAB aus/einpackende "diamond compression" gibt's seit 30 Jahren) Abhängigkeiten zu Fremdkörpern (hier 7-zip) einbauen und solchen SCHROTT privat mit ihren "Produkten" x-fach und typischerweise in veralteten Versionen liefern und installieren.
JEDER nicht völlig merkbefreite Entwickler nutzt die vom jeweiligen Ziel-Betrübssystem bereitgestellten Routinen zum Lesen/Schreiben des STANDARD-Dateiformats: bei Windows ist das *.CAB, gelesen und geschrieben von %SystemRoot%\System32\cabinet.dll, %SystemRoot%\System32\expand.exe und %SystemRoot%\System32\makecab.exe sowie (mittels *.INF) von %SystemRoot%\System32\setupapi.dll und %SystemRoot%\System32\advpack.dll
cab Dateien nutzt kein Mensch mehr. Windows unterstützt seit Jahren nativ das Ein- und Auspacken von ZIP Dateien. Das ist ein Standard um den man heute nicht mehr drumherum kommt. cab stammt noch aus Windows 3.x Zeiten.
Wer mehr Komfort braucht, nutzt 7-Zip, weil es kostenlos ist und mehr kann. Passwortgeschützte Archive, für Mailversand auf x kB/MB/GB große Teile, höhere Kompressionsraten, besonders bei 7Z-Dateien und solche Sachen. (natürlioch gibts noch Alternativen, WinZip und WinRar sind aber nicht kostenlos und LZarc kennt kaum einer. Letzteres kann eigentlich alles, was 7Zip auch kann, nur hat das keiner im Fokus. Ich habs parallel installiert, weil es manchmal besser mit uralten Versionen von Zip- und anderen alten Kompressionsverfahren umgehen kann, die 7Zip als fehlerhaft betrachtet und nicht oder nicht vollständig auspackt.
Im Normalfall reichen aber die Bordmittel um Zip-Dateien zu entpacken und packen. Wer unbedingt bei seinem Drittprogramm 7Zip braucht, soll es mit seinem Installer von der offiziellen Seite – oder per winget – runterladen und ordentlich installieren und im System mit Versionsnummer registrieren. Dann ist der Install-Pfad bekannt und man kann ihn statt einer eigens mit gebrachten Version nutzen. Und es lässt sich separat und transparent aktualisieren, auch von winget, UniGetUI und PatchmyPC.
Das mit UniGetUI ärgert mich richtig. UniGetUI hat 7Zip im Katalog drin, weiß also wo der Original-Download herkommt, und könnte das so sauber spätestens beim ersten Programmstart systemweit nutzbar mit installieren, statt die Exe und DLLs in einem Unterverzeichnis nochmal abzulegen, und dann auch noch zu vergessen, sie aktuell zu halten.
*.cab als Standardformat zu bezeichnen – ich würde es nicht so nennen. Auch nicht gzip, was ungefähr genauso lange existiert.
Fakt ist aber, dies wird weiterhin massiv unter jedem Windows eingesetzt. Jedes MSI inkludiert Daten via cab bzw. die Daten darin sind mit cab komprimiert. Zudem gilt das auch teilweise für Pakete via WSUS.
Nur weil es bereits lange existiert, ist es deshalb nicht schlecht. Hat nach wie vor guten Kompromis zwischen Wartezeit und Platzersparnis. Auch gzip hat seinen Zweck.
Nebenbei kann Windows mittlerweile nativ weit mehr als ZIP. Auch 7z ist da mittlerweile dabei. Entpacken sollte sogar mit rar gehen. Wichtig, das wird nur angezeigt wenn man nicht die klassische Shell anzeigen lässt.
#Froschkönig
Program Files ist in der Win-DE-Version der Ordner Programme, könnte es das bei dir sein?
Wie gesagt, ist in vielen x64 Win-Versionen dort vorhanden.
C:\Programme\Windows Defender Advanced Threat Protection
Classification
Dprt
x64
Ps:
Danke an Günni!
Na dann schaue dir das doch mal an der Eingabeaufforderung und in der Powershell an. Das was du siehst, c:\programme, c:\programme (x86), das ist eine Vorgaukelung falscher Tatsachen durch höhere Schichten des Betriebssystems, welche das auf nicht englichen Windows-Installationen virtuell umbenennen. Auf französischen Windows Installationen siehst du im Explorer "c:\programmes". Du findest im Explorer auch c:\benutzer, aber in der Eingabeaufforderung heißt das c:\users, und in französischen Windows Explorer "c:\utilisateurs". In deinem Benutzerprofil die Ordner Favoriten, Dokumente, Bilder, TV-Aufzeichnungen usw. sind auch solche Fälle. Das "Echte" im NTFS-Dateisystem bekommst du da nicht zu sehen. Und ein "cd c:\Benutzer" wird in der Eingabeaufforderung oder in der Powershell nicht funktionieren.
Ich glaube, da gibts für dich noch viel zu entdecken…
Tach zusammen, ich bin mal wieder etwas zu spät bei der Party, aber ich habe gerade mal in der Powershell als Admin ein
ls -Recurse -Include *7z*.exe, *7z*.dll, *7z*.sfx | % { $_.FullName +" "+ $_.VersionInfo.FileVersion }
über C:\ und D:\ laufen lassen und staune nicht schlecht wie viele und alte Versionen (9.20, 16.02, 17.01 beta, 19.00) sich auf der Festplatte tummeln.
Der Oberknaller dabei ist natürlich (wie vor mir hier schon öfter geschrieben):
C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Dprt\x64\7z.dll 24.09
Denn wenn der Defender zum Entpacken von Malware tatsächlich diese anfällige Version benutzen sollte, dann braucht man ja noch nicht mal die 7-ZIP-Datei selbst zu entpacken, um sein System zu infizieren. Der Defender macht das beim Download automatisch, läuft dann bestimmt auch noch mit Systemrechten und kann somit den Schadcode (so gut wie) überall auf die Platte schreiben.
Hallo zusammen,
so ganz scheint das in der Welt noch nicht angekommen zu sein.
AMD hat heute den 25.12.1 rausgehauen und ich staune nicht schlecht.
7z.exe = 24.9.0.0
Also irgendwie hat sich da gar nichts getan. :-D
Aber mal bzgl. poiuz Powershell-Suche, es geht noch viel schlimmer:
C:\Program Files\AMD\AMDInstallManager\7z.dll 24.09
C:\Program Files\AMD\AMDInstallManager\7z.exe 24.09
C:\Program Files\AMD\CIM\Bin64\7z.dll 24.09
C:\Program Files\AMD\CIM\Bin64\7z.exe 24.09
C:\Program Files\AMD\CNext\CNext\7z.dll 24.09
C:\Program Files\AMD\CNext\CNext\7z.exe 24.09
OK soweit klar, aber nun
C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Dprt\x64\7z.dll 24.09
C:\Program Files (x86)\Buhl\Mein Büro\7z.dll 9.20
C:\Program Files (x86)\SanDisk\Dashboard\7za.exe 9.38 beta
Grüße
Und vor was habt ihr bei den Treiber angst?
Wenn der Angreifer den Content im .\Program Files\.. anpassen kann hat er bereits die Kiste übernommen. Wieso sollte noch die Mühe machen und das archivmanipulieren. Kann ja direkt die exe anpassen.