7-Zip: Packprogramm enthält Schwachstelle - Workaround verfügbar

Im Open-Source-Packprogramm 7-Zip wurde eine Si­cher­heits­lü­cke gefunden. Die Schwachstelle kann dazu füh­ren, dass ein Angreifer höhere Rechte zugewiesen be­kom­mt. Bis die Entwickler ein Update anbieten, lässt sich die Lücke über einen einfachen Workaround schließen. Die Sicherheitslücke ist unter dem Namen CVE-2022-29072 bekannt. Wie Deskmodder schreibt, betrifft die Schwachstelle die 7-Zip-Builds bis zur aktuellen Version 21.07. Angreifer haben die Option, manipulierte Eingaben zu tätigen und damit erhöhte Rechte zu erlangen. Es soll auch möglich sein, die Eingaben über ein Netzwerk auszuführen und die Lücke damit auszunutzen. Ob bereits Exploits existieren und in der Praxis eingesetzt werden, ist unklar. Mit einem sehr einfachen Workaround ist es möglich, die Schwachstelle zu beseitigen

Hilfedatei für Lücke verantwortlich

Da die Gefahr von der im Installations-Ordner enthaltenen Datei "7-zip.chm" ausgeht, reicht es aus, die betroffene Datei zu löschen. Es handelt sich um eine Hilfedatei, die Informationen zur Bedienung und Funktionsweise von 7-Zip enthält. Um das Dokument zu entfernen, muss zunächst der Ordner des Packprogramms geöffnet werden. Im Normalfall lässt sich das Tool unter "C:\Programme\" finden. Nachdem der Ordner "7-Zp" aufgerufen wurde, kann die Datei "7-zip.chm" einfach über einen Rechtsklick gelöscht werden. Alternativ wäre es möglich, dem Packprogramm die Schreibrechte zu entziehen, sodass 7-Zip nur noch ausgeführt werden und Dateien lesen kann.

Es ist davon auszugehen, dass bald eine Aktualisierung für 7-Zip bereitgestellt wird, die den Fehler beseitigt und die Hilfedatei anpasst. Weitere Details zu der Sicherheitslücke werden in einem GitHub-Beitrag aufgeführt. In einem YouTube-Video wird demonstriert, wie die Schwachstelle zum Erlangen erhöhter Rechte verwendet werden kann.

Download 7-Zip - Open Source Packprogramm Siehe auch: