Sicherheitsleck im Packprogramm 7-Zip
Im freien Packprogramm 7-Zip klafft eine Sicherheitslücke, wie heise.de dazu, unter Berufung auf die Warnungen des Center for Internet Security (CIS), berichtete. Das davon ausgehende Risiko ist mit dem Bedrohungsgrad "hoch" eingestuft. Nun haben die 7-Zip-Entwickler die reparierte Ausgabe 18.0 veröffentlicht. In allen vorherigen Versionen soll die Lücke (CVE-2018-10115) vorhanden sein.
Speicherfehler möglich
Da die ausführbaren Dateien 7zFM.exe, 7zG.exe, 7z.exe den Schutzmechanismus Adress Space Layout Randomization (ASLR) nicht innehaben, könnten Angreifer im Zuge der Decodierung eines Archives ansetzen und einen Speicherfehler auslösen, wie es weiter dazu heißt.
Das kann dazu führen, dass ein Angreifer mit den Rechten des Opfers Schadcode ausführen kann. Wie ein Übergriff im Detail abläuft, ist derzeit nicht bekannt. ASLR ist eine gängige Technik, um Pufferüberläufe zu erschweren und derartige Angriffe einzudämmen, so heise.de.
