7-Zip 18.05 schließt Sicherheitslücke

7-Zip ist in den letzten Jahren bei vielen zu dem Packer / Entpacker schlechthin auf der Windows-Plattform geworden. Open Source, kostenfrei und robust. Allerdings ist eine Sicherheitslücke offengelegt worden, weshalb ihr unbedingt auf die fehlerbereinigte aktuelle Version umsteigen solltet. Und achtet bitte zukünftig darauf: Auf der als „offiziell“ gekennzeichneten deutschen Seite unter 7-zip.de werden uralte Versionen angeboten, auf der Seite 7-zip.org werdet ihr aktuell fündig.

Geführt wird die Lücke unter CVE-2018-10115 und findet sich im Rar-Part des Entpackers. Unter Umständen kann ein Speicherüberlauf herbeigeführt werden, was das Ganze dann anfällig für Remote Code Execution macht. Technisch beschrieben wird das Ganze auf dieser Webseite, dort findet man auch ein Video. Betroffen könnte nicht nur 7Zip selber sein, sondern auch Produkte, die auf die 7z.dll setzen – so die Ergänzungen des Finders in der Diskussion bei Hackernews. Wie auch immer: Mir war wichtig, auf das Update und die Unterschiede zwischen den Webseiten hinzuweisen.

Danke Marvin

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

12 Kommentare

  1. Danke für den Hinweis – auch auf die Unterschiede! Ist mir bisher nicht aufgefallen. Ist es wohl sinnvoll, nach Download der neuesten Version und VOR der dann folgenden Installation erst die alte 7zip-Version zu deinstallieren. Oder einfach ‚drüberinstallieren‘? Was meint ihr? Danke und Gruß, Thomas.

  2. Das Problem bei 7zip (zumindest unter Windows) ist, dass man nicht über neue Updates benachrichtigt wird. Ich hatte so zufällig von 3 Tagen, weil ich die 7zip DLL für ein Projekt gebraucht habe, die neue Version entdeckt.

    • Mancher mag es als „Nachteil“ sehen. Andere wieder sehen den Vorteil, dass nicht ständig im Netz gesucht wird…
      Hat eben alles seine Vor- und Nachteile.

      • TR wird wohl u.a. Linux meinen. Da wird nicht ständig im Netz gesucht, wie es unter Windows von verschiedenen Programmen der Fall und nur eine suboptimale Lösung ist. Unter Linux ist es halt Standard, das System und die einzelnen Programme in einem Rutsch zu aktualisieren. Das spart Zeit und macht den Rechner sicherer, als es unter Windows nur irgendwie möglich ist. Nicht ganz übertrieben zu sagen, dass in der Hinsicht Windows ein Wurschtelsystem ist.

        • Wobei Microsoft mit dem Store ja auch versucht in Richtung Paketverwaltung wie bei Linux zu gehen, was ja prinzipiell eine tolle Sache ist, für die Bequemlichkeit, Sicherheit, etc., nur meckern da leider auch wieder alle drüber 😉

          • Das mit dem Store ist eine gute Idee. Ich war anfangs auch nicht davon begeistert, weil ich immer der Meinung war, dass der Store zwingend einen Account benötigt, was ja aber gar nicht der Fall ist. Nur gibt es zumindest aktuell leider kaum Programme die ich nutze, die auch im Store sind.

            Und @Heinz
            Ich sehe das eindeutig als Nachteil. Eine einfache Option „automatisch nach Updates suchen? Ja, Nein?“ Würde schon reichen. Wäre natürlich lange nicht so bequem wie der weg über die Linux Paketverwaltung oder den Microsoft Store, aber immerhin ein Anfang.

  3. Danke für den Tipp! Ich erstelle mir via https://ninite.com/ ein Installationsprogramm, das ich so ca. alle 4 Wochen mal aufrufe. Es prüft dann, ob es für die enthaltenen Open-Source-Programme Updates gibt… Das ist mir lieber als diese automatischen Updates, die immer dann „zuschlagen“, wenn man es nicht gebrauchen kann. Ob „ninite.com“ sauber arbeitet, kann ich (leider) nicht garantieren – bemerkt habe ich bisher nichts.

    • Ich weiß nicht welche Software (außer vielleicht Windows selbst) du verwendest, wo Updates automatisch ohne deine Einwilligung „zuschlagen“. Ich kenne das nur, dass die Software entweder einen updater integriert hat, der den Nutzer fragt, ob er updaten möchte, oder dass der Nutzer nur benachrichtigt wird und das Update dann selbst beziehen kann.

      • Ganz spontan fällt mir da Discord ein, nicht unbekannt und sicher nicht die einzige Software, mein Gedächtnis gibt aber diesbezüglich gerade nicht so viel her, weil es mich selbst nie gestört hat.

  4. Hallo Caschy,
    es stimmt schon das auf der .de Seite eine alte Version aufgeführt ist.
    Das kommt daher, weil Igor Pavlov der Programmierer von 7-Zip, nicht der Domaininhaber ist.
    Diese Seite ist also nur eine Kopie der offiziellen Seite und wird wohl nicht mehr gepflegt vom eigentlichen Inhaber.
    Ausserdem ist die deutsche Seite nicht oder nicht mehr in der Linkliste, der offiziellen Seite.

    MfG
    Teal’C

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.