Die 7-Zip Sicherheitslücke trifft ein Werkzeug, das in fast jedem Unternehmen läuft, oft unbemerkt im Hintergrund. Eine präparierte Archivdatei reicht, um auf einem ungepatchten System beliebigen Code auszuführen. Das Tückische daran: Die Datei muss nicht einmal nach einem Datenträger-Abbild aussehen, ein harmloser Dateiname genügt.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Das Wichtigste in Kürze
- CVE-2026-48095 ist ein Heap-Pufferüberlauf im NTFS-Handler von 7-Zip, bewertet mit CVSS 8.8.
- Betroffen sind alle Versionen bis einschließlich 26.00 unter Linux, UNIX und Windows.
- Version 26.01 schließt die Lücke und steht seit dem 27. April 2026 bereit.
- Ein öffentlicher Proof-of-Concept existiert bereits, das Zeitfenster zum Patchen ist also knapp.
Wie funktioniert der Angriff über ein Archiv?
Der Fehler steckt tief im Code. In der Funktion, die beim Verarbeiten eines NTFS-Datenstroms die nötige Speichergröße berechnet, kommt es zu einem Rechenfehler. 7-Zip reserviert daraufhin einen viel zu kleinen Speicherbereich und schreibt anschließend eine große Menge angreiferkontrollierter Daten hinein. Der überlaufende Puffer überschreibt benachbarte Strukturen im Speicher und öffnet so den Weg zur Codeausführung.
Die Tarnung macht die Lücke gefährlich. 7-Zip probiert nach der Dateiendung auch andere Handler nach Signatur durch. Ein manipuliertes NTFS-Abbild landet deshalb selbst dann im verwundbaren Handler, wenn die Datei invoice.pdf oder Q2_report.zip heißt. Der Dateiname taugt damit nicht als Sicherheitsnachweis. Entdeckt und gemeldet hat den Bug Jaroslav Lobačevski vom GitHub Security Lab.
Warum betrifft das fast jedes Unternehmen?
Der Verbreitungsgrad ist enorm. 7-Zip steckt in unzähligen Mittelstands-Umgebungen, oft fest verdrahtet in eingehende E-Mail-Verarbeitung, automatisierte Paket-Workflows und Integrationsprozesse auf File-Servern. Genau diese Stellen verarbeiten täglich Archive aus externen Quellen, häufig ohne dass jemand bewusst auf eine Datei klickt.
Die Erfahrung aus früheren Fällen zeigt, wie schnell aus einer Meldung ein Massen-Scan wird. Der Linux-Kernel-Patch im Mai brachte deutsche Administratoren binnen eines Tages in die Suche, und die jüngste Welle, in der eine KI-Pipeline 300 Zero-Days in 72 Stunden fand, hat das Tempo weiter verschärft. Bei 7-Zip liegt der Exploit-Code bereits öffentlich vor.
Eine Datei heißt nicht mehr, was sie ist. Wer 7-Zip in automatisierten Workflows fährt und den Patch verschiebt, verlässt sich auf den Dateinamen als Türsteher, und der lässt jeden rein.
— Michael Dobler, Herausgeber Dr. Web
Was sollten Sie jetzt konkret tun?
Aktualisieren Sie 7-Zip umgehend auf Version 26.01 oder neuer. Prüfen Sie zuerst die Endpunkte, auf denen Nutzer regelmäßig extern stammende Archive entpacken, also Systeme für E-Mail-Triage, Downloads und die administrative Verarbeitung komprimierter Dateien. Die technischen Details liefert das Advisory GHSL-2026-140 des GitHub Security Lab.
Behandeln Sie bis zum Patch unerwartete Archive, umbenannte Dateien und passwortgeschützte Anhänge als nicht vertrauenswürdig, bis ein Scan sie freigegeben hat. Weil der Angriffsweg über die Datei selbst läuft, ist die Bestandsaufnahme der installierten Versionen der wirksamste erste Schritt, nicht die Netzwerküberwachung. Wie sich ein systematischer Patch-Prozess im Mittelstand aufsetzen lässt, ordnen unsere Cybersecurity-Grundlagen für KMU ein.
Mehr Newshunger?
