Thought Leadership
Eine Schwachstelle im weit verbreiteten Packer-Programm 7-Zip ermöglicht die Ausführung von Schadcode. Ein öffentlich verfügbarer Exploit erhöht die Gefahr erheblich. Nutzer müssen selbst aktiv werden.
Im kostenlosen Kompressionsprogramm 7-Zip klafft eine kritische Sicherheitslücke, die bereits von Angreifern ausgenutzt werden könnte, wie unter anderem der Cybersecurity-Anbieter 8com aktuell informiert. Die als CVE-2025-11001 registrierte Schwachstelle erhält eine CVSS-Bewertung von 7,0 und wird von NHS England Digital, der für Cyberrisiken im britischen Gesundheitswesen zuständigen Behörde, als extrem gefährlich eingestuft. Für die Lücke existiert bereits ein öffentlicher Proof-of-Concept-Exploit, was Angriffe erheblich erleichtert.
Manipulation von Symlinks ermöglicht Code-Ausführung
Entdeckt wurde die Schwachstelle von Ryota Shiga vom japanischen Sicherheitsunternehmen GMO Flatt Security Inc. Das Problem liegt in der fehlerhaften Verarbeitung symbolischer Links (Symlinks) in ZIP-Archiven durch ältere 7-Zip-Versionen. Wie die Zero Day Initiative (ZDI) von Trend Micro erläutert, handelt es sich um einen Directory-Traversal-Fehler, der Remote Code Execution (RCE) ermöglicht.
Konkret kann eine speziell präparierte ZIP-Datei das Entpackprogramm dazu bringen, beim Extrahieren in nicht autorisierte Systemverzeichnisse zu wechseln. Dadurch können Angreifer beliebigen Code mit den Rechten des Nutzers ausführen, im schlimmsten Fall mit administrativen Berechtigungen.
Drei Faktoren machen die Lücke besonders gefährlich
Die Kombination mehrerer Faktoren macht CVE-2025-11001 zu einer ernstzunehmenden Bedrohung: Erstens ermöglicht die Schwachstelle die Ausführung von Code mit hohen Privilegien, was bis zur vollständigen Systemübernahme führen kann. Zweitens ist die Ausnutzung technisch unkompliziert: Das Opfer muss lediglich ein manipuliertes Archiv öffnen, etwa nach einer Phishing-Attacke. Drittens ist 7-Zip weltweit auf Millionen Systemen installiert, was Angreifern eine enorme Angriffsfläche bietet.
Obwohl bislang keine aktiven Angriffe beobachtet wurden, hat der Sicherheitsforscher Dominik (bekannt als “pacbypass”) einen funktionierenden PoC-Exploit veröffentlicht, wie 8com schreibt. Dies liefert Cyberkriminellen eine fertige Angriffsvorlage. Auch Microsoft ist auf die Bedrohung aufmerksam geworden und überwacht böswillige Aktivitäten bereits unter der Bezeichnung “Exploit:Python/CVE 2025 11001.SA!MTB”.
Update verfügbar, aber ohne Automatik
Die gute Nachricht: Entwickler Igor Pavlov hat die Sicherheitslücke mit Version 25.00 bereits geschlossen. Aktuell steht Version 25.01 zum Download bereit. Die schlechte Nachricht: 7-Zip verfügt über keinen automatischen Update-Mechanismus. Nutzer müssen selbst tätig werden und die neue Version manuell von der offiziellen Website herunterladen und installieren.
Angesichts der verfügbaren Exploits und der weiten Verbreitung von 7-Zip sollten Anwender umgehend prüfen, welche Version installiert ist, und gegebenenfalls aktualisieren. Nur so lässt sich eine potenzielle Kompromittierung des Systems verhindern.
(lb/8com)
