7-Zip 18.05 schließt Sicherheitslücke

7-Zip ist in den letzten Jahren bei vielen zu dem Packer / Entpacker schlechthin auf der Windows-Plattform geworden. Open Source, kostenfrei und robust. Allerdings ist eine Sicherheitslücke offengelegt worden, weshalb ihr unbedingt auf die fehlerbereinigte aktuelle Version umsteigen solltet. Und achtet bitte zukünftig darauf: Auf der als „offiziell“ gekennzeichneten deutschen Seite unter 7-zip.de werden uralte Versionen angeboten, auf der Seite 7-zip.org werdet ihr aktuell fündig.

Geführt wird die Lücke unter CVE-2018-10115 und findet sich im Rar-Part des Entpackers. Unter Umständen kann ein Speicherüberlauf herbeigeführt werden, was das Ganze dann anfällig für Remote Code Execution macht. Technisch beschrieben wird das Ganze auf dieser Webseite, dort findet man auch ein Video. Betroffen könnte nicht nur 7Zip selber sein, sondern auch Produkte, die auf die 7z.dll setzen – so die Ergänzungen des Finders in der Diskussion bei Hackernews. Wie auch immer: Mir war wichtig, auf das Update und die Unterschiede zwischen den Webseiten hinzuweisen.

Danke Marvin

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

12 Kommentare

  1. Danke für den Hinweis – auch auf die Unterschiede! Ist mir bisher nicht aufgefallen. Ist es wohl sinnvoll, nach Download der neuesten Version und VOR der dann folgenden Installation erst die alte 7zip-Version zu deinstallieren. Oder einfach ‚drüberinstallieren‘? Was meint ihr? Danke und Gruß, Thomas.

  2. Das Problem bei 7zip (zumindest unter Windows) ist, dass man nicht über neue Updates benachrichtigt wird. Ich hatte so zufällig von 3 Tagen, weil ich die 7zip DLL für ein Projekt gebraucht habe, die neue Version entdeckt.

    • Mancher mag es als „Nachteil“ sehen. Andere wieder sehen den Vorteil, dass nicht ständig im Netz gesucht wird…
      Hat eben alles seine Vor- und Nachteile.

      • TR wird wohl u.a. Linux meinen. Da wird nicht ständig im Netz gesucht, wie es unter Windows von verschiedenen Programmen der Fall und nur eine suboptimale Lösung ist. Unter Linux ist es halt Standard, das System und die einzelnen Programme in einem Rutsch zu aktualisieren. Das spart Zeit und macht den Rechner sicherer, als es unter Windows nur irgendwie möglich ist. Nicht ganz übertrieben zu sagen, dass in der Hinsicht Windows ein Wurschtelsystem ist.

        • Wobei Microsoft mit dem Store ja auch versucht in Richtung Paketverwaltung wie bei Linux zu gehen, was ja prinzipiell eine tolle Sache ist, für die Bequemlichkeit, Sicherheit, etc., nur meckern da leider auch wieder alle drüber 😉

          • Das mit dem Store ist eine gute Idee. Ich war anfangs auch nicht davon begeistert, weil ich immer der Meinung war, dass der Store zwingend einen Account benötigt, was ja aber gar nicht der Fall ist. Nur gibt es zumindest aktuell leider kaum Programme die ich nutze, die auch im Store sind.

            Und @Heinz
            Ich sehe das eindeutig als Nachteil. Eine einfache Option „automatisch nach Updates suchen? Ja, Nein?“ Würde schon reichen. Wäre natürlich lange nicht so bequem wie der weg über die Linux Paketverwaltung oder den Microsoft Store, aber immerhin ein Anfang.

  3. Danke für den Tipp! Ich erstelle mir via https://ninite.com/ ein Installationsprogramm, das ich so ca. alle 4 Wochen mal aufrufe. Es prüft dann, ob es für die enthaltenen Open-Source-Programme Updates gibt… Das ist mir lieber als diese automatischen Updates, die immer dann „zuschlagen“, wenn man es nicht gebrauchen kann. Ob „ninite.com“ sauber arbeitet, kann ich (leider) nicht garantieren – bemerkt habe ich bisher nichts.

    • Ich weiß nicht welche Software (außer vielleicht Windows selbst) du verwendest, wo Updates automatisch ohne deine Einwilligung „zuschlagen“. Ich kenne das nur, dass die Software entweder einen updater integriert hat, der den Nutzer fragt, ob er updaten möchte, oder dass der Nutzer nur benachrichtigt wird und das Update dann selbst beziehen kann.

      • Ganz spontan fällt mir da Discord ein, nicht unbekannt und sicher nicht die einzige Software, mein Gedächtnis gibt aber diesbezüglich gerade nicht so viel her, weil es mich selbst nie gestört hat.

  4. Hallo Caschy,
    es stimmt schon das auf der .de Seite eine alte Version aufgeführt ist.
    Das kommt daher, weil Igor Pavlov der Programmierer von 7-Zip, nicht der Domaininhaber ist.
    Diese Seite ist also nur eine Kopie der offiziellen Seite und wird wohl nicht mehr gepflegt vom eigentlichen Inhaber.
    Ausserdem ist die deutsche Seite nicht oder nicht mehr in der Linkliste, der offiziellen Seite.

    MfG
    Teal’C

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.