Im Archivierungs-Tool 7-Zip wurde in der Version 26.00 (und früher) eine kritische Schwachstelle CVE-2026-48095 aufgedeckt. Ein Heap Buffer Write Overflow kann dazu führen, dass Code ausgeführt wird. Dazu reichen präparierte ZIP-Archivdateien, die die Schwachstelle ausnutzen. Die Schwachstelle ist in 7-Zip 26.01 geschlossen.
Die Schwachstelle wurde laut dieser Seite am 24. April 2026 gemeldet und ein Fix in 7-Zip Version 26.01 zum 27. April 2026 veröffentlicht. In der Version 26.00 (und früher) von 7-Zip besteht eine Sicherheitslücke durch einen Heap-Pufferüberlauf (GHSL-2026-140), die durch eine zu geringe Zuweisung im NTFS-Komprimierungs-Stream-Puffer (GetCuSize shift UB) verursacht wird. Angreifer könnten diese Schwachstelle potenziell ausnutzen, um beliebigen Code auszuführen oder Anwendungsabstürze zu verursachen.
Ich bin über obigen Tweet auf die Information gestoßen, die bei Cyber Security News noch etwas detaillierter beschrieben wird.
MVP: 2013 – 2016
@Günter: Link zur gefixten Software wäre hilfreich.
https://7-zip.org/
Schau mal hier: https://www.7-zip.org/
geht auch super mit winget upgrade 7zip.7zip
Oder direkt NanaZio
Besserer Ratschlag: Ein automatisiertes Deployment für Drittsoftware installieren oder benutzen, wenn schon vorhanden. Für ungemanagte Systeme reicht im Prinzip winget upgrade –all –silent, was man aber entweder regelmäßig selbst ausführen muss, oder man legt in der Aufgabenplanung einen Task (für den Benutzer "SYSTEM") an oder man installiert UniGetUI / PatchMyPC HomeUpdater und konfigriert diese Tools für tägliche Update-Prüfungen. 7-Zip 26.01 wurde so schon direkt bei Erscheinen der Version automatisiert installiert, auch auf den privaten PCs, ohne dass man sich kümmern muss.
Grundsätzlich korrekt, nur dem Punkt "sich nicht kümmern müssen", würde ich nur bedingt zustimmen. Nicht jedes Update wird auch fehlerfrei installiert. Man sollte also trotzdem ein Auge drauf haben und sicherstellen, dass Updates auch angewendet werden. Tools wie PatchMyPC sind hilfreich, installieren aber auch gerne mal englische Versionen z.B. von Firefox oder Thunderbird. Falls einem das nicht recht ist, muss man auch dort eingreifen.
Das mit den englischen Versionen von FF und TB habe ich auch schon beobachtet, das ist aber innerhalb der Einstellungen wieder umschaltbar. Und wenn ein Update mal scheitert, das passiert gelegentlich bei UniGetUI (aber bisher nicht Patchmypc), einfach abwarten, irgendwann klappts – ist jedenfalls besser als garnicht patchen.
und dann passiert dir das wie zuletzt das die Updates kompromitiert sind und du dir den Müll direkt automatisiert aufs System haust…
Das kann dir beim manuellen Update auch passieren, und wenn du garnicht updatest, kanns auch sein, dass du monatelang ausgerechnet die kompromittierte Version benutzt, obwohl es inzwischen eine bereinigte Version gibt. Bei UniGetUI kann man neuerdings einstellen, dass es mit dem Update X Tage nach Erscheinen warten soll.
Mittlerweile gibt es die 26.01 Version unter https://github.com/ip7z/7zip/releases/.
Und seit 27.4.26 schon auf 7-zip.org, also schon seit 4 Wochen.
Die 26.01 habe ich auch schon vor 4 Wochen installiert.
Alles fantastisch, löst aber nicht das Problem mit dem Defender.
Der wehrt sich nämlich (bei händischem Dateitausch), wenn man versucht ihm die .dll unterm Arsch wegzuziehen.
Mit Winget wird lediglich 7zip installiert oder upgegradet (auch wenn man das Ding gar nicht haben will).
Das eigentlich saugefährliche (ungepatchte )7zip im Defender wird gar nicht angefasst.
Besser:
"%ProgramFiles%\Windows Defender\MpCmdRun.exe" -SignatureUpdate.
Oder den Schrott (Archivscan) ganz abschalten.
@robbi
Tanke Anke und dem Fliehwahtüt. Hast einem alten Knochen was gezeigt, was er noch nicht kannte.
Sarkasmus?
Stimmt.
Die 7z.dll im Defender wurde im März aktualisiert, aber nur auf die Version 25.01, obwohl es da schon 1 Monat lang die 26.00 gab.
Und auch aktuell ists die noch die uralte 25.01.
Nach der 7zip.dll kannste lange suchen.
Der Code sitzt in der mpengine.dll.
Aktuelle Version ist die 1.1.26040.8 vom 22.05.26.
Nö.
Hier steckt die 7z.dll im Ordner:
C:\\Program Files\\Windows Defender Advanced Threat Protection\\Classification\\Dprt\\x64
Und die hat die Version 25.01.
Und die mpengine.dll ist bei mir aktuell, hat die von dir genannte Versionsnummer.
Emterprise?
Nö, ganz normales Windows Professional.
Roboter sagt:
mpengine.dll (Antivirus-Kern):
Dieser Haupt-Virenscanner nutzt keine externe 7z.dll, sondern hat seine eigenen, fest in den Code gegossenen Parser.
Dprt (Data Protection Runtime):
Die Engine für Data Loss Prevention (DLP) und Inhaltsklassifizierung von Microsoft.
Hier hat Microsoft den offiziellen, quelloffenen Entpacker von 7-Zip (die 7z.dll) direkt als eigenständige Datei in dieses Verzeichnis kopiert.
Mehr Input hier:
https://learn.microsoft.com/de-de/shows/build-2016/b890