7-Zip, ein Archiv-Werkzeug, hat aktualisierte Installationspakete veröffentlicht. Darin werden zwei Sicherheitslücken geschlossen, durch die Angreifer Opfern Schadcode unterschieben können. Das Öffnen sorgsam präparierter Dateien reicht dabei schon aus. Die Pakete sollten Nutzer zügig herunterladen und installieren.

Bereits die im Mai veröffentlichte Version 23.00 von 7-Zip schließt die Sicherheitslücken. Die aktuelle Version 23.01 aus dem Juni ist inzwischen verfügbar und steht auf der Download-Seite verfügbar.

Die Lücken wurden von der Zero-Day-Initiative gefunden und gemeldet. Eine der Lücken (CVE-2023-40481, CVSS 7.8, Risiko "hoch") können von Angreifer ausgenutzt werden, indem sie Opfer dazu bringen, entsprechend manipulierte Dateien zu öffnen.

Auch über die zweite Lücke (CVE-2023-31102, CVSS 7.8, hoch) können Fehler durch präparierte Archive ausgelöst werden.

Da 7-Zip keinen integrierten Update-Mechanismus hat, müssen Nutzer das aktuelle Installationspaket selbst herunterladen und ausführen, um die Software auf den korrigierten Stand zu bringen.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE