Im weit verbreiteten Packprogramm 7-Zip steckt eine schwere Sicherheitslücke. Das GitHub Security Lab stuft sie unter der Kennung CVE-2026-48095 mit einem CVSS-Score von 8,8 von 10 als "Hoch" ein. Entdecker Jaroslav Lobačevski meldete das Problem am 24. April 2026 vertraulich, und schon drei Tage später lieferte der 7-Zip-Entwickler Igor Pavlov mit Version 26.01 einen Patch nach. Wer noch Version 26.00 nutzt, sollte jetzt handeln.

Codeausführung oder Absturz

Der Fehler steckt im NTFS-Archivhandler von 7-Zip, also in dem Programmteil, der NTFS-Festplatten-Images lesen kann. Konkret berechnet eine Funktion namens "GetCuSize()" die Größe eines Speicherpuffers falsch, wenn eine präparierte Datei bestimmte Extremwerte enthält. Das Ergebnis: Das Programm reserviert nur ein einziges Byte Arbeitsspeicher, schreibt dort aber anschließend bis zu 256 MByte Daten hinein. Dieses klassische "Heap Buffer Overflow" genannte Problem bestätigten die Forscher mit einem Werkzeug namens UBSan, das genau solche Speicherfehler aufspürt.

Gefährlich wird der Speicherfehler, weil direkt hinter dem winzigen Puffer im Arbeitsspeicher eine wichtige interne Datenstruktur liegt. Ein Angreifer kann diese Struktur mit eigenen Daten überschreiben und so die Kontrolle darüber übernehmen, welchen Code das Programm als nächstes ausführt. Auf Systemen mit wenig RAM kann der Angriff 7-Zip lediglich zum Absturz bringen; auf gut ausgestatteten Rechnern mit mindestens 16 GByte ist laut den Forschern jedoch echte Codeausführung realistisch.

Angriff über beliebige Dateiendungen

Was die Sache noch brisanter macht: Die Lücke lässt sich mit Dateien beliebiger Endung ausnutzen. 7-Zip prüft nämlich nicht nur die Dateiendung, sondern schaut auch in die Datei selbst, um deren Format zu erkennen. Schlägt der eigentlich zuständige Handler fehl, probiert das Programm weitere Handler durch – darunter auch den verwundbaren NTFS-Handler. Eine präparierte Datei mit der Endung ".zip", ".rar" oder sogar ".7z" landet damit genauso im gefährlichen Codepfad wie eine Datei ohne jede Endung. Lobačevski veröffentlichte zudem ein Python-Skript namens "gen_ntfs_sparse.py", mit dem sich entsprechende Testdateien erzeugen lassen.

Die Lösung ist einfach: Update auf 7-Zip 26.01 oder neuer, verfügbar auf der offiziellen 7-Zip-Website. Unternehmen sollten außerdem prüfen, auf welchen Rechnern noch die alte Version läuft – vor allem dort, wo Mitarbeitende regelmäßig Dateien aus externen Quellen entpacken, etwa im E-Mail-Postfach oder beim Auswerten verdächtiger Anhänge. Herstellerseitige Indicators of Compromise gibt es bislang nicht, daher bleiben zügiges Patchen und ein gesundes Misstrauen gegenüber unbekannten Archivdateien die wichtigsten Schutzmaßnahmen.