Im populären Packer 7-Zip klafft eine Sicherheitslücke, durch die Angreifer Schadcode einschleusen und ausführen könnten. Dazu reicht das Besuchen einer bösartigen Webseite oder das Öffnen einer bösartig präparierten Datei.

Trend Micros Zero-Day-Initiative (ZDI) hat die Schwachstelle entdeckt und gemeldet. Bei der Verarbeitung von Daten im xz-Format kann ein Heap-basierter Pufferüberlauf auftreten. Angreifer können die Lücke missbrauchen, um Schadcode im Kontext des aktuellen Prozesses auszuführen (CVE-2026-14266, CVSS 7.0, Risiko „hoch“). Der konkrete CVE-Schwachstelleneintrag ist zum Meldungszeitpunkt weder unter cve.org noch in der NVD-Datenbank des NIST öffentlich.

7-Zip: Aktualisierte Software verfügbar

Die aktualisierte Fassung 7-Zip 26.02 steht für Linux, macOS und Windows (sowohl ARM64 als auch x64 und x86) zum Download bereit. Das Changelog nennt lediglich einige gefixte Bugs und Schwachstellen, auch letztere im Plural. Es könnten also noch mehr Sicherheitslücken bekannt werden, die die Aktualisierung auf Stand 26.02 ausbessert. Nutzerinnen und Nutzer sowie Admins sollten daher nicht zögern und die Aktualisierung zügig vornehmen.

Neben dem manuellen Download und der Installation gibt es auch die Möglichkeit, WinGet zum Aktualisieren zu nutzen. An der Eingabeaufforderung muss dazu der Befehl winget upgrade --all aufgerufen werden. Das aktualisiert nicht nur 7-Zip, sondern auch weitere installierte Drittanbieter-Software. Der routinemäßige Aufruf dieses Befehls hilft, die Angriffsfläche auf das System zu minimieren.