Sicherheitslücke in 7-Zip gefunden (AL01/241122/CSIRT-ITA) – Update

Synthese

Es wurden Einzelheiten zu einer Sicherheitslücke in der bekannten Open-Source-Dateikomprimierungs- und Archivierungssoftware 7-Zip veröffentlicht, die der Anbieter bereits im Juni 2024 behoben hat. Diese Sicherheitslücke könnte von einem Remote-Angreifer ausgenutzt werden, um beliebigen Code auf betroffenen Systemen auszuführen.
Hinweise (aktualisiert am 10.12.2024): Ein Proof of Concept (PoC) zur Ausnutzung der Schwachstelle ist online verfügbar.

Risiko (aktualisiert am 12.10.2024)

Geschätzte Auswirkung der Schwachstelle auf die Referenzgemeinschaft: SCHWER/ROT (76,66/100)¹.

Typologie

• Remote Code Execution

Betroffene Produkte und Versionen

7-Zip, Versionen vor 24.07

Schadensbegrenzungsmaßnahmen

Sofern nicht angegeben, wird empfohlen, anfällige Produkte gemäß den Anweisungen im Sicherheitsbulletin im Abschnitt „Referenzen“ zu aktualisieren.

Eindeutige Schwachstellenkennungen

CVE-2024-11477

Referenzen

https://www.zerodayinitiative.com/advisories/ZDI-24-1532

https://www.7-zip.org

¹Diese Schätzung erfolgt unter Berücksichtigung verschiedener Parameter, darunter: CVSS, Verfügbarkeit von Patches/Workarounds und PoC, Verbreitung der betroffenen Software/Geräte in der Referenz-Community.