Die Lücke wurde schon im Juni an den Entwickler von 7-Zip gemeldet. Ein Patch steht bereit. Die Software aktualisiert sich nicht von selbst.



In früheren Versionen des freien Packprogramms 7-Zip klafft eine Sicherheitslücke, die es Angreifern ermöglicht, auf fremden Systemen Schadcode auszuführen. Entdeckt wurde sie von einem Trend-Micro-Forscher namens Nicholas Zubrisky. Informationen zur Lücke sind in einer Sicherheitsmeldung der Zero Day Initiative (ZDI) zu finden. Ein Patch ist verfügbar, muss aber manuell installiert werden. Die Schwachstelle ist als CVE-2024-11477 registriert und erreicht mit einem CVSS-Wert von 7,8 einen hohen Schweregrad.

Wer 7-Zip verwendet, sollte daher prüfen, ob er noch eine anfällige Version im Einsatz hat, und diese gegebenenfalls aktualisieren. Die neueste Version des Programms wurde am 12. August veröffentlicht und trägt die Versionsnummer 24.08. Der Entwickler behob damit noch weitere Fehler in der Software.