Sicherheitslücke in 7-ZIP

wie mit CVE-2022-29072 bekannt wurde, enthält auch die aktuelle 7-ZIP Version 21.07 in der Hilfedatei (7-zip.chm). Der Hauptentwickler des Projekts hat sich noch nicht dazu geäußert, der Workaround ist aber recht einfach zu bewerkstelligen:

Löschen Sie die Hilfe-Datei 7-zip.chm. Für die 64-Bit-Version liegt diese im angezeigten Pfad. Wenn Sie 7-zip über eine Stapeldatei installieren, lautet demnach die Unattended-Befehlskette:

echo 7-Zip...
7z2107-x64.exe /S
rem *** Sicherheitslücke von 2022 - Helpdatei löschen
del "C:\Program Files\7-Zip\7-zip.chm" /Q

Da Version 21.07 andere bekannte Sicherheitslücken geschlossen hat, ist die Kombination aus 7-ZIP 21.07 (64-Bit) und dem Löschen der Hilfedatei derzeit die sicherste Möglichkeit, mit gepackten Dateien umzugehen. Das liegt auch daran, dass die im Windows Dateiexplorer integrierte ZIP-Entpackfunktion eine Vorschaufunktion hat, die immer mal wieder Sicherheitsrisiken enthielt. 7-ZIP erkennt auch mehr Formate und ist Open-Source, während WINRAR und WINZIP kostenpflichtig sind. Da die Software ein Open-Source-Projekt ist, dürfte das Risiko, dass der Chef-Entwickler ein Russe ist, gering ausfallen, zumal die Software keinen automatischen Updater hat, der „nach Hause telefoniert“, und schädliche Programmzeilen den anderen Entwicklern und der Community wegen Quellcode-Einsicht sofort auffallen würden.

Entfernen Sie alte Versionen von 7-ZIP, installieren Version 21.07 (64-Bit) und löschen danach die 7-zip.chm Hilfedatei

7-Zip 21.07

Verwandte Beiträge
Sicherheitslücken und Workarounds
Update: Mit dem Patchday Juni 2022 (14.06.2022) wurde zumindest die MSDT (auch als Follina bekannte Sicherheitslücke) geschlossen. Ob die Search-Dienst Lücke
Warum Exchange Server nicht mehr zeitgemäß sind
Bereits im März und im April wurden in den #Exchange Server Produkten kritische #Sicherheitslücken geschlossen. Die als #Hafnium betitelten Angriffe
Sicherheitslücken in PHP 7 – 8.1
Update: Nach meinen Recherchen haben die führenden Hosting-Provider (all-inkl.com, Strato, ionos...) das PHP-Punktrelease 8.0.20 installiert, so dass diese Plattformen derzeit
Ändere Dein Passwort – Tag
Seit vielen Jahren gibt es immer am 01. Februar den Motto Tag "Ändere Dein Passwort". Nachdem schon vor Jahren durch
Mehrwersteuer! Ergreift Maßnahmen jetzt!
Neues aus dem Phisherei-Hafen. Zwar sind aktuelle Phishing-E-Mails häufiger ohne eklatante Rechtschreib- oder Grammatikfehler (bis auf das fehlende "t" in
IT-Sicherheit: und sie klicken doch
weil viele Spam Filter und Mitarbeiter, die immer noch gern alles anklicken englische E-Mails löschen, sind seit einiger Zeit Mails
Über den Autor:

Patrick Bärenfänger ist seit mehr als 30 Jahren in der IT-Branche tätig und TÜV-geprüfter IT-Security Manager und -Auditor. Er beschäftigt sich mit der Gestaltung von Internet-Auftritten, Entwicklung von Web-Anwendungen, Mobilität, Fahrzeug-Multimediatechnik, neuer Software und Hardware. Windows und android sind seine Welt.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert