7-Zip hat eine Sicherheitslücke

Der Packer 7-Zip ist seit vielen Jahren eine Software-Empfehlung von uns. 7-Zip ist eine freie Software mit offenem Quellcode. Ihr solltet schauen, dass ihr da bald mit der aktuellen Version unterwegs seid, denn 7-Zip bis zur momentan aktuellen Version 21.07 unter Windows ermöglicht die Ausweitung von Rechten und die Ausführung von Befehlen, wenn eine Datei mit der Erweiterung .7z in den Bereich Hilfe>Inhalt gezogen wird. Die in der 7-Zip-Software enthaltene Zero-Day-Schwachstelle basiert auf einer Fehlkonfiguration der 7z.dll und einem Heap-Überlauf. Ein Nutzer mit Zugriff auf einen Rechner mit 7-Zip kann also Systemrechte erhalten. Das Ganze wird auch hier im Video einmal vorgeführt:

Abhilfen bis zum Update?

Erste Methode: Wenn 7-Zip nicht aktualisiert wird, reicht es aus, die Datei 7-zip.chm zu löschen, um die Sicherheitslücke zu schließen.

Zweite Methode: Das Programm 7-Zip sollte nur Lese- und Ausführungsrechte haben. (Für alle Benutzer)

In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

23 Kommentare

  1. hm. Gerade festgestellt, ich habe Versin 16.04

    😀

  2. Wolfgang D. says:

    „Zweite Methode: Das Programm 7-Zip sollte nur Lese- und Ausführungsrechte haben. (Für alle Benutzer)“

    Eigentlich muss das die 7-zip.chm Datei sein, ne?
    Weiss nicht ob die Meldung generell ein verspäteter Aprilscherz/Kettenbrief ist, da meine W10 Installation für die Hilfedatei, wie es sich gehört, natürlich nur Lesen/Ausführen kann. Vielleicht sind nur mobile Versionen von 7-zip vom Rechteproblem betroffen?

    • Die Meldung ist kein Aprilscherz. Die Rechte der chm sind nicht wichtig, nur die der 7-Zip Exe bzw. der hh.exe.

      • Wolfgang D. says:

        @Jannik „kein Aprilscherz“
        Nicht vom Datum, hab extra noch mal bei Twitter nachgeschaut.

        Nur haben 7z.exe, 7zFM.exe, 7-zip.chm, unter den Eigenschaften – Reiter Sicherheit – Benutzer allesamt nur Lesen/Ausführen angehakt. Sowas wie „Alle Nutzer“ gibt es in „Benutzer, Gruppen oder Integrierte Sicherheitsprinzipale“ überhaupt nicht. Aktuelles W10 Pro 21H2.

        Also wird entweder halbgarer Kram verbreitet (mal wieder), oder es ist eine Verarschung von Nutzern bzw. Igor Pawlow – zumal der ausgenutzte Fehler in der HH.exe von Microsoft nie behoben wurde, man hat CHM eingestampft.

        Ich habe stattdessen einen alternativen Help Viewer kchmviewer von Sourceforge installiert und den zum Standardhandler gemacht.

        • Ich konnte die Sicherheitslücke auch nicht nachvollziehen. Wenn ich die Datei in das chm Fenster reinziehe wird die CLI mit Benutzerrechten geöffnet.

          • Wolfgang D. says:

            Bei reddit heisst es, dass man UAC deaktivieren muss, damit der Trick funktioniert. Dazu ist es ein Problem von Microsoft und dem alten Hilfesystem, wo immer es noch in Anwendungen verbaut ist.

  3. Wird 7zip noch nicht sanktioniert wie der Rest?

    • Warum sollte? (7-Zip is free software with open source.)

    • Weil es noch keine Sanktionen nur aufgrund der russischen Staatsbürgerschaft gegen irgendjemanden oder irgendwas gibt. Ich weiß, dass es Leute gibt, die sogar russische Restaurants boykottieren oder auch ukrainische Restaurants, deren Namen sie für russisch halten… bist du so einer?
      Sippenhaft haben wir hier eigentlich abgeschafft, damals 1945.

      • Nein ich sanktioniere niemanden, im Gegenteil, ich finde diese Sanktionen schaden mehr als die nutzen.
        Mein Kommentar war ironisch gemeint, weil Kaspersky jetzt auch „böse“ ist und vor der Software gewarnt wird. Obwohl keine Beweise vorliegen.

        • Die Geschichte mit Kaspersky ist weder eine Sanktions noch Beykottempfehlung. Sondern eine Sicherheitswarnung, da der russische Staat, theoretisch, Kaspersky dazu zwingen könnte ungewünschten Code einzuschleusen.

          Ich sag das mal ganz wertefrei ob die Warnung angebracht ist oder nicht. Für mich gibt es aber sowieso keinen Grund eine „extra“ Softwarelösung zu kaufen und zu installieren, obwohl MS eine bessere bereits mitliefert.

  4. Evtl doch keine so brisante Nachricht? Auf reddit/sysadmin wird erstmal dazu geraten die Füße still zu halten.

    „This is either a social experiment, a troll, or a Jonathan-Scott-style „any publicity is is good publicity“ stunt.
    Whatever the reason, spending any time thinking about it is not in your best interest.“
    Q: https://twitter.com/wdormann/status/1516143910694928398
    Q2: https://www.reddit.com/r/sysadmin/comments/u6jho1/cve202229072_7zip_privilege_escalation/

  5. Die 21.07 ist doch die aktuelle Version, eine andere habe ich nicht gefunden.
    Somit ist zur Zeit kein Update möglich.

    https://www.7-zip.de/

  6. Funktional ist 7ZIP ein tolles Programm.
    Aber es ist in den letzten Jahren oft durch Sicherheitslücken aufgefallen, die in fremden Bibliotheken steckten.
    Da ist es um so verwunderlicher, dass der russische Entwickler sich gegen eine Auto-Update-Funktion sträubt.
    Für mich und meine Kunden bin ich schon lange zu TC4Shell gewechselt.
    TV4Shell integriert sich in den Explorer. Kein extra UI erforderlich.
    https://www.tc4shell.com/

    • Und dieses (kostenpflichtige!) Programm nutzt diese „fremden Bibliotheken“ nicht?
      Also nach allem was man online findet nutzt TC4Shell die 7z.dll und unrar.dll, also doch genau diese „fremden“ libs. Dazu hat 7zip in den letzten 4 Jahren *keine* bekannte (CVE-zugewiesene) Sicherheitslücke gehabt, davor auch nur recht wenige, in 15 Jahren genau 2 kritische Lücken.
      Ob TC4Shell da besser ist oder ob da einfach weniger veröffentlicht ist eine andere Frage.

      Nichts gegen die Entwickler von TC4Shell, diese beteiligen sich auch an der Entwicklung von 7zip, aber trotzdem sehe ich die Begründung mit Sicherheit als sehr schwach an.

  7. Also ich habe die selbe Version wie im Video gezeigt, mit dem Unterschied (x64).

    Dort passiert das gezeigte nicht. Beim Droppen erscheint ein Dialog, ob die Datei geöffnet ist gespeichert werden soll. Beim Öffnen wird der Inhalt der Zip angezeigt, beim Speichern gespeichert…

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.