Im Archivierungs-Tool 7-Zip wurde in der Version 26.00 (und früher) eine kritische Schwachstelle CVE-2026-48095 aufgedeckt. Ein Heap Buffer Write Overflow kann dazu führen, dass Code ausgeführt wird. Dazu reichen präparierte ZIP-Archivdateien, die die Schwachstelle ausnutzen. Die Schwachstelle ist in 7-Zip 26.01 geschlossen.
Die Schwachstelle wurde laut dieser Seite am 24. April 2026 gemeldet und ein Fix in 7-Zip Version 26.01 zum 27. April 2026 veröffentlicht. In der Version 26.00 (und früher) von 7-Zip besteht eine Sicherheitslücke durch einen Heap-Pufferüberlauf (GHSL-2026-140), die durch eine zu geringe Zuweisung im NTFS-Komprimierungs-Stream-Puffer (GetCuSize shift UB) verursacht wird. Angreifer könnten diese Schwachstelle potenziell ausnutzen, um beliebigen Code auszuführen oder Anwendungsabstürze zu verursachen.
Ich bin über obigen Tweet auf die Information gestoßen, die bei Cyber Security News noch etwas detaillierter beschrieben wird.
MVP: 2013 – 2016
@Günter: Link zur gefixten Software wäre hilfreich.
https://7-zip.org/
Schau mal hier: https://www.7-zip.org/
https://letmegooglethat.com/?q=7-zip.org+download
geht auch super mit winget upgrade 7zip.7zip
Besserer Ratschlag: Ein automatisiertes Deployment für Drittsoftware installieren oder benutzen, wenn schon vorhanden. Für ungemanagte Systeme reicht im Prinzip winget upgrade –all –silent, was man aber entweder regelmäßig selbst ausführen muss, oder man legt in der Aufgabenplanung einen Task (für den Benutzer "SYSTEM") an oder man installiert UniGetUI / PatchMyPC HomeUpdater und konfigriert diese Tools für tägliche Update-Prüfungen. 7-Zip 26.01 wurde so schon direkt bei Erscheinen der Version automatisiert installiert, auch auf den privaten PCs, ohne dass man sich kümmern muss.
Mittlerweile gibt es die 26.01 Version unter https://github.com/ip7z/7zip/releases/.
Und seit 27.4.26 schon auf 7-zip.org, also schon seit 4 Wochen.
Die 26.01 habe ich auch schon vor 4 Wochen installiert.