Im Archivprogramm 7-Zip haben IT-Forscher eine Sicherheitslücke entdeckt, die Angreifern das Einschleusen von Schadcode ermöglicht. Dazu genügt das Öffnen einer sorgsam präparierten Archiv-Datei. Ein Update zum Schließen des Sicherheitslecks steht bereit.
Das GitHub-Security-Team hat einen entsprechenden Schwachstelleneintrag veröffentlicht. In 7-Zip 26.00 können bösartige Akteure demnach einen Heap-basierten Pufferüberlauf provozieren. Bei der Verarbeitung von komprimierten NTFS-Streams kann ein zu kleiner Puffer angelegt werden, was zum Absturz der App oder sogar zur Ausführung beliebigen Codes führen kann (CVE-2026-48095, CVSS 8.8, Risiko „hoch“).
Das Verhalten der Lücke unterscheidet sich je nach Wortbreite der Systemarchitektur. 32-Bit-Builds sind in jedem Fall davon betroffen, auf 64-Bit-Systemen hängt es davon ab, wie viel RAM tatsächlich im System verbaut ist. Auf Systemen mit 16 GByte und mehr findet die Speicherallokation korrekt statt, sodass dort Schadcode eingeschleust werden kann.
Auf Systemen mit weniger Speicher kann das fehlschlagen und führt dann zu einem Denial-of-Service-Zustand. Die Meldung enthält auch Proof-of-Concept-Code, sodass Angreifer in Kürze die Schwachstelle in ihr Standard-Repertoire aufnehmen könnten.
