Ihr nutzt 7-Zip zum Entpacken von RAR-Dateien? Zum ZIP-Archiv-Download? Dann hat es euch möglicherweise monatelang nicht betroffen. Oder doch. Und ihr habt es nicht gemerkt.
Im Oktober 2025 ist es dann öffentlich geworden: 7-Zip hatte zwei hochgradige Sicherheitslücken (CVE-2025-11001 und CVE-2025-11002), die Angreifer ausnutzten, um willkürlich Code auf eurer Maschine auszuführen.
Das Problem: Symlink-Traversal und Code-Ausführung
Das klingt beeindruckend? Ist es auch. Hier’s wie es funktioniert:
Ein Angreifer erstellt eine bösartige ZIP-Datei mit speziell manipulierten Daten. Wenn ihr mit einer älteren 7-Zip-Version das Archiv entpackt, exploitet die fehlerhafte Verarbeitung von Symlinks (symbolischen Links) einen Directory-Traversal-Fehler. Das ermöglicht es dem Angreifer, Dateien außerhalb des Zielordners zu schreiben – möglicherweise mit bösartigem Code an sensiblen Systemlocations.
Ein klassischer Symlink-Traversal-Angriff. Das ist nicht neu in der Sicherheit, aber wenn es 7-Zip trifft – einem Tool, das Millionen täglich nutzen – dann wird es ernst.
Wie lange war das Problem da?
Das ist die gruselige Frage. Die Lücken wurden am 2. Mai 2025 dem Entwickler gemeldet. Die öffentliche Ankündigung erfolgte erst am 7. Oktober 2025.
Das sind über fünf Monate, in denen die Sicherheitsforscher Igor Pavlov Zeit gaben, einen Patch zu entwickeln. Responsible Disclosure nennt man das. Die gute Seite: Der Patch war bereit, bevor die Welt erfuhr, dass es ein Problem gibt.
Die schlechte Seite? Ihr alle waren die ganze Zeit verwundbar.
Die 25er Version war der Fix
Igor Pavlov, der 7-Zip-Entwickler, handelte schnell. Version 25.00 wurde am 5. Juli 2025 veröffentlicht und behob die Sicherheitslücken neben mehreren kleineren Problemen beim RAR- und COM-Archiv-Handling. Die aktuelle stabile Version ist 25.01 (August 2025).
Das Problem: Niemand wusste, warum die Update wichtig ist. Weil die Sicherheitsdetails nicht veröffentlicht waren.
Warum das so gefährlich ist: Das 7-Zip Update-Problem
Hier kommt die zentrale Schwäche: 7-Zip aktualisiert sich nicht automatisch. Viele Menschen benutzen ältere portable Kopien, die niemals geupdatet werden.
Das ist nicht einfach eine Design-Schwäche. Das ist eine Sicherheitsarchitektur-Katastrophe.
Vergleicht das mit Chrome, Firefox oder Windows: Diese Tools updaten sich automatisch im Hintergrund. Ihr bekommt die Security-Fixes, ohne darüber nachzudenken.
7-Zip? Da müsst ihr manuell zur Website gehen, die neue Version herunterladen und updaten. Wie viele von euch machen das regelmäßig?
Genau.
Und dann gibt’s noch die Enterprise-Umgebungen: 7-Zip wird oft von Patch-Management-Systemen nicht erfasst, weil es nicht über den Windows Installer oder ein zentrales Repository installiert ist. Es lebt als Fremdkörper in der IT-Infrastruktur.
Die Eskalation der 7-Zip Probleme
Das ist nicht das erste Mal, dass 7-Zip in die Schlagzeilen gerät. Anfang 2025 wurde CVE-2025-0411 entdeckt, eine Sicherheitslücke, die es Angreifern ermöglichte, die Windows Mark-of-the-Web (MoTW) Schutzmaßnahmen zu umgehen, indem Dateien in verschachtelte Archive versteckt wurden und die „aus dem Internet heruntergeladen“-Warnung entfernt wurde. Das war in Version 24.09 (November 2024) behoben worden.
Aber wie viele hatten 24.09 wirklich installiert?
Jetzt Version 25.01. Wie viele werden das wirklich updaten?
Das ist das Muster, das sich abzeichnet: 7-Zip ist wie ein Auto mit wöchentlichen neuen Sicherheitsmängeln – und der Mechaniker kann nur hoffen, dass ihr selbst vorbeikommen würdet, um es zu reparieren.
CVSS 7.0: Was bedeutet das?
Beide Schwachstellen haben einen CVSS-Basis-Score von 7.0. Die Ausnutzung erfordert Benutzerinteraktion, aber die Hürde ist niedrig: Das einfache Öffnen oder Extrahieren eines bösartigen Archivs genügt.
Das ist nicht „kritisch“, aber „hoch“. Die Einstufung liegt daran, dass ihr immer noch eine Datei anklicken müsst. Aber bei ZIP-Dateien aus E-Mails? Bei Downloads aus dem Internet? Das ist genau die Interaktion, die jeden Tag millionenfach passiert.
Was wird empfohlen?
Die Antwort ist klar: Wer 7-Zip nutzt, sollte sofort auf Version 25.01 oder neuer aktualisieren, direkt von der offiziellen Website herunterladbar. Der Installer ersetzt die alte Kopie und behält eure Einstellungen.
Und bis dahin? Seid extrem vorsichtig mit ZIP-Dateien aus unbekannten Quellen. Vermeidet es, Archive zu öffnen, die verdächtig aussehen oder aus unverifizeierten E-Mails stammen.
Das größere Muster
Das ist ja das Faszinierende und gleichzeitig Beängstigende: Compression Tools sind überall. ZIP, RAR, 7Z, alle weit verbreitet, alle oft in der Sicherheit unterschätzt.
Und während 7-Zip ein legitimes Open-Source-Projekt von Igor Pavlov ist, das er offensichtlich im Alleingang betreut, zeigt sich hier ein grundsätzliches Problem: Kritische Infrastruktur mit einem einzigen Maintainer und keinem Auto-Update-Mechanismus ist ein Sicherheitsrisiko, nicht eine Lösung.
Was bleibt?
Die gute Nachricht: Der Patch ist da und funktioniert.
Die schlechte Nachricht: Millionen werden nie davon erfahren. Millionen werden nie updaten. Und Angreifer wissen das. 🙁
Fazit: 7-Zip ist ein großartiges Tool aber es ist auch ein Mahnmal dafür, dass nicht jedes Software-Projekt moderne Sicherheits-Praktiken hat. Auto-Updates, Responsible Disclosure, prompte Patching, alles gut und schön. Aber wenn euer Tool nicht mit der Zeit aufholt, werdet ihr zum Sicherheitsrisiko.
Update auf 25.01. Jetzt! Nicht morgen.
DE 
EN 
ES 
FR 
IT