7-Zip ist ein Open-Source-Packprogramm mit optionaler AES-256-Bit-Verschlüsselung, Support für große Dateien und der Möglichkeit, jegliche Kompressions-, Konvertierungs- und Verschlüsselungsmethode zu nutzen. Es wird nicht nur von Hunderttausenden Anwendern eingesetzt, sondern Drittanbieter und Entwickler implementieren es auch häufig in ihre Produkte. Diese sind durch die Schwachstellen ebenfalls gefährdet.

Bei der ersten Schwachstelle (CVE-2016-2335) in 7-Zip handelt es sich um eine sogenannte Out-of-Bounds-Lücke im Zusammenhang mit der Verarbeitung von Dateien im Universal Disk Format (UDF). Aufgrund einer unzureichenden Überprüfung lässt sich der Lesevorgang theoretisch auf nicht vorgesehene Bereiche ausweiten, wenn Partitionstabellen zum Auffinden von Objekten im Dateisystem gescannt werden. Angreifer könnten dies ausnutzen, um eine Denial-of-Service-Attacke zu starten oder Schadcode auszuführen.

Die zweite Lücke (CVE-2016-2334) ist eine Heap-Overflow-Schwachstelle in der Funktionsmethode Archive::NHfs::CHandler::ExtractZlibFile. Im HFS+-Dateisystem der Software können Dateien mittels zlib in einem komprimierten Format gespeichert werden. Abhängig von der Datengröße wird diese Information eventuell in Blöcken abgelegt. Jedoch erfolgt keine Überprüfung, ob die Blockgröße die des Software-Puffers übersteigt. Das führt zu dem Pufferüberlauf-Problem, welches sich wiederum zum Ausführen von Schadcode ausnutzen lässt.

Talos und 7-Zip haben gemeinsam an der Beseitigung der Schwachstellen gearbeitet. In der seit Dienstag verfügbaren Version 16.00 des plattformübergreifenden Kompressionsprogramms sind sie nicht mehr enthalten. Alle Vorgängerversionen sind jedoch anfällig und sollten schnellstmöglich aktualisiert werden. Das gilt sowohl für Endverbraucher sowie für Firmen und Entwickler, die die 7-Zip-Funktionen in ihre Produkte integriert haben.

Wir empfehlen eine dringende Aktualisierung.

Categories: Hauptseite