Aktualisierungshinweis: 7-Zip 23.01 fixt zwei Sicherheitslücken

7-Zip hat bereits im Mai zwei Sicherheitslücken geschlossen, die zuvor von der Zero Day Initiative entdeckt wurden. Es handelt sich um CVE-2023-40481 und CVE-2023-31102, die beide mit einem CVSS von 7.8 als hoch eingestuft werden. Beide Sicherheitslücken erlauben Remotecodeausführung. CVE-2023-31102 nutzt eine schwache Überprüfung von SquashFS-Images aus, um einen zugewiesenen Puffer während eines Schreibvorgangs zu überschreiben. CVE-2023-40481 nutzt eine ähnliche Schwachstelle aus. Dabei wird ein Integer-Underflow ausgenutzt. Eine 8-Bit Ganzzahl (Integer) hat einen Wertebereich von 0 bis 255. Versucht man von einer solchen Ganzzahl, die bereits den Wert 0 hat, 1 abzuziehen, kommt es zu einem Integer-Underflow. Dies kann dazu führen, dass sich ein Programm unvorhersehbar verhält. Beide Lücken erfordern Benutzerinteraktion, der Benutzer muss entweder eine fehlerhafte SQFS-Datei oder eine 7Z-Datei in 7-Zip öffnen. Die Schwachstellen wurden bereits in 7-Zip 23.00 behoben. Da das Programm keine Update-Routine besitzt, sollte die neueste Version 23.01 so schnell wie möglich installiert werden.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.