{"id":307958,"date":"2025-01-22T19:01:21","date_gmt":"2025-01-22T18:01:21","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=307958"},"modified":"2026-05-14T11:38:32","modified_gmt":"2026-05-14T09:38:32","slug":"7-zip-schwachstelle-ermoeglicht-mow-bypass","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/01\/22\/7-zip-schwachstelle-ermoeglicht-mow-bypass\/","title":{"rendered":"7-ZIP-Schwachstelle erm\u00f6glicht MoW-Bypass"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Im Archivprogramm 7-Zip f\u00fcr Windows gibt es eine Schwachstelle, die beim Entpacken von Archiven kritisch werden kann. Die \"Mark of Web\"-Kennzeichnung f\u00fcr Downloads kann beim Entpacken aufgehoben werden. Es gibt bereits ein Update, um die Schwachstelle zu beseitigen.<\/p>\n

<\/p>\n

Schwachstelle CVE-2025-0411 in 7-Zip<\/h2>\n

\"\"Die Zero-Day-Initiative (ZDI) hat den Sicherheitshinweis\u00a07-Zip Mark-of-the-Web Bypass Vulnerability<\/a> zur Schwachstelle\u00a0CVE-2025-0411<\/a> in 7-ZIP ver\u00f6ffentlicht. Die mit einem CVSs 3.1 Score von 7.0 bewertete Sicherheitsl\u00fccke\u00a0erm\u00f6glicht Remote-Angreifern die Umgehung des Mark-of-the-Web-Schutzmechanismus von Windows \u00fcber das Programm 7-Zip.<\/p>\n

Was ist Mark-of-the-Web (MoW)?<\/h3>\n

Mark-of-the-Web (MoW) ist ein von Microsoft entwickelter Schutzmechanismus, bei dem Downloads aus dem Internet in den Dateien mit einem Flag gekennzeichnet werden. Windows kann dann beim Aufruf der Datei eine Warnung anzeigen, dass es sich um einen Download handelt, der unsicher sein k\u00f6nnte.<\/p>\n

Benutzerinteraktion zur Ausnutzung erforderlich<\/h3>\n

Um diese Sicherheitsl\u00fccke auszunutzen, ist allerdings eine Benutzerinteraktion erforderlich, da das Ziel eine b\u00f6sartige Seite besuchen oder eine b\u00f6sartige Datei herunterladen und dann \u00f6ffnen muss.<\/p>\n

Die Schwachstelle besteht beim Umgang mit archivierten Dateien. Beim Extrahieren von Dateien aus einem manipulierten Archiv, das das Mark-of-the-Web tr\u00e4gt, \u00fcbernimmt 7-Zip das Mark-of-the-Web-Flag nicht f\u00fcr die aus dem Archiv extrahierten Dateien.<\/p>\n

Ein Angreifer kann diese Sicherheitsl\u00fccke ausnutzen, um beliebigen Code im Kontext des aktuellen Benutzers auszuf\u00fchren.\u00a0Die\u00a0Zero-Day-Initiative (ZDI) beschreibt<\/a> in einer Sicherheitsmitteilung, wie Remote-Angreifer durch Manipulation des 7-Zip-Archivinhalts den MotW-Schutzmechanismus<\/a> aushebeln k\u00f6nnen. Dort hei\u00dft es, dass beim Entpacken von Dateien aus einem manipulierten Archiv, das mit dem \"Mark-of-the-Web\"-Flag versehen ist, 7-Zip dieses Flag nicht auf die entpackten Dateien \u00fcbertr\u00e4gt. Ein Angreifer kann diese Sicherheitsl\u00fccke ausnutzen, um beliebigen Code im Kontext des aktuellen Benutzers auszuf\u00fchren. Dazu schickt der dem Opfer manipulierte 7-ZIP-Dateien per Mail oder Web-Download.<\/p>\n

Die Schwachstelle wurde am 1. Oktober 2024 an den Entwickler gemeldet. Das Ganze ist in 7-Zip Version 24.09 behoben.\u00a0Diese Version ist seit Ende November 2024 auf dieser Webseite<\/a> herunterladbar. Danke an den Blog-Leser f\u00fcr den Hinweis auf diesen heise-Beitrag<\/a> zum Thema.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Im Archivprogramm 7-Zip f\u00fcr Windows gibt es eine Schwachstelle, die beim Entpacken von Archiven kritisch werden kann. Die \"Mark of Web\"-Kennzeichnung f\u00fcr Downloads kann beim Entpacken aufgehoben werden. Es gibt bereits ein Update, um die Schwachstelle zu beseitigen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-307958","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/307958","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=307958"}],"version-history":[{"count":2,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/307958\/revisions"}],"predecessor-version":[{"id":325004,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/307958\/revisions\/325004"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=307958"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=307958"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=307958"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}