Kritische, Sicherheitslücke

7-Zip 26.02: Kritische Sicherheitslücke schließt Heap-Pufferüberlauf

Veröffentlicht: 18.07.2026 um 23:51 Uhr, Redaktion boerse-global.de

Die neue 7-Zip-Version behebt einen gefährlichen Pufferüberlauf. Ein manuelles Update ist für Windows-Nutzer dringend erforderlich.

7-Zip 26.02 schließt kritische Sicherheitslücke CVE-2026-14266
Leuchtendes Vorhängeschloss-Symbol über fragmentiertem digitalem Dateiarchiv, mit Binärcode im Hintergrund, symbolisiert Datensicherheit und Schwachstellen. Illustration mit AI erstellt übermittelt durch boerse-global.de

Die Entwickler des Open-Source-Archivierungsprogramms 7-Zip haben Version 26.02 veröffentlicht – sie schließt eine Sicherheitslücke, die Angreifern die vollständige Kontrolle über betroffene Systeme ermöglichen könnte.

Der Fehler mit der Kennung CVE-2026-14266 betrifft die XZ-Dekomprimierungsfunktion des Programms. Dabei handelt es sich um einen sogenannten Heap-basierten Pufferüberlauf – eine der gefährlichsten Schwachstellenklassen überhaupt. Entdeckt wurde sie von Landon Peng von Lunbun Research.

So funktioniert der Angriff

Um die Lücke auszunutzen, müssen Angreifer ihre Opfer dazu bringen, eine präparierte Archivdatei zu öffnen. Das klingt banal, ist aber im Alltag erschreckend einfach: Eine manipulierte ZIP- oder 7z-Datei per E-Mail, zum Download angeboten oder auf einem USB-Stick – und schon wäre der Zugriff möglich.

Die gute Nachricht: Bisher gibt es keine Hinweise auf aktive Ausnutzung dieser spezifischen Schwachstelle. Allerdings wurde bereits 2025 eine andere 7-Zip-Sicherheitslücke – ein „Mark-of-the-Web"-Bypass – als sogenannter Zero-Day-Angriff ausgenutzt. Das zeigt: Das Programm steht im Visier von Angreifern.

Manuelles Update zwingend erforderlich

Anzeige

Hacker nutzen gezielt manipulierte Dateien und präparierte USB-Sticks, um Sicherheitslücken in Windows-Systemen auszunutzen. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie sich mit einem speziellen Windows-11-Boot-Stick absichern und Ihr System im Notfall jederzeit reparieren oder neu aufsetzen können. Windows 11 Boot-Stick-Anleitung jetzt kostenlos sichern

Anders als viele moderne Programme besitzt 7-Zip keine automatische Update-Funktion. Nutzer müssen die neue Version 26.02 manuell von der offiziellen Projektwebsite herunterladen und installieren. Das ist besonders für Windows-Anwender dringend zu empfehlen, die regelmäßig komprimierte Dateiformate öffnen.

CISA aktualisiert Katalog bekannter Schwachstellen

Parallel zur 7-Zip-Veröffentlichung hat die US-Cybersicherheitsbehörde CISA am 18. Juli 2026 mehrere weitere kritische Sicherheitslücken in ihren Katalog der bekannten ausgenutzten Schwachstellen (KEV) aufgenommen. Dazu gehören:

  • Zwei OS-Command-Injection-Lücken in Fortinet FortiSandbox (CVE-2026-39808 und CVE-2026-25089)
  • Eine Deserialisierungs-Schwachstelle in Microsoft SharePoint (CVE-2026-58644)

Alle drei Schwachstellen haben einen CVSS-Score von 9,8 – die höchste Risikostufe. CISA bestätigte die aktive Ausnutzung dieser Lücken und forderte Bundesbehörden auf, die notwendigen Patches bis zum 19. Juli 2026 einzuspielen. Die Fortinet-Lücken wurden Berichten zufolge von der Inc-Ransomware-Gruppe ausgenutzt.

WinRAR bleibt im Visier

Die Sicherheitslücke bei 7-Zip ist kein Einzelfall. Archivierungsprogramme bleiben ein beliebtes Angriffsziel. Russland-nahe Bedrohungsakteure – bekannt als Earth Dahu und SHADOW-EARTH-066 – nutzen seit Monaten eine Path-Traversal-Schwachstelle in WinRAR (CVE-2025-8088) aus, um Ziele in der Ukraine anzugreifen.

Anzeige

Da kritische Sicherheitslücken in Windows-Anwendungen oft ein Einfallstor für Cyberkriminalität sind, ist ein aktuelles und sicher konfiguriertes Betriebssystem unerlässlich. Erfahren Sie in diesem Gratis-Report, wie Sie stressfrei auf Windows 11 umsteigen und dabei all Ihre Programme und Dateien sicher übernehmen. Kostenlosen Windows 11 Umstiegs-Plan herunterladen

Obwohl der Patch für diese WinRAR-Lücke bereits im Juli 2025 veröffentlicht wurde, setzen Angreifer weiterhin darauf – und liefern damit den GIFTEDCROOK-Stealer aus. Diese Schadsoftware stiehlt Passwörter, Cookies und Dokumente und übermittelt sie an spezielle Kommando- und Kontrollserver.

WordPress: Notfall-Updates gegen „wp2shell"

Auch im Web-Infrastruktur-Bereich gibt es brisante Entwicklungen. WordPress veröffentlichte am 17. Juli 2026 Notfall-Updates für eine Angriffskette namens „wp2shell". Diese besteht aus:

  • Einer SQL-Injection-Lücke (CVE-2026-60137)
  • Einer REST-API-Batch-Route-Confusion-Lücke (CVE-2026-63030)

Betroffen sind WordPress-Versionen 6.9 bis 7.0.1. Anders als bei 7-Zip hat WordPress hier erzwungene automatische Updates aktiviert. Die Nutzer werden auf die gepatchten Versionen 7.0.2, 6.9.5 oder 6.8.6 aktualisiert – notwendig geworden, nachdem erste Ausnutzungen gemeldet wurden und Exploit-Code öffentlich verfügbar war.

Microsofts Rekord-Patch-Day

Die jüngste Welle von Sicherheitsmeldungen folgt auf den Microsoft Patch Day im Juli 2026, bei dem mehr als 570 Schwachstellen adressiert wurden. Darunter waren zwei aktiv ausgenutzte Zero-Day-Lücken in Active Directory Federation Services (AD FS) und SharePoint Server.

Auch Notepad++ und indische Börsenaufsicht warnen

Weitere Software-Entwickler zogen Mitte Juli nach. Notepad++ Version 8.9.7 schließt mehrere Lücken, darunter eine PowerShell-Command-Injection-Schwachstelle im Installationsprogramm und einen Stack-Pufferüberlauf (CVE-2026-54758).

Und die indische Börsenaufsicht SEBI warnte am 17. Juli 2026 vor dem sogenannten „Boss Scam". Dabei setzen Angreifer ZIP-basierte Malware ein, um WhatsApp-Web-Sitzungen auf Windows-Geräten zu kapern und betrügerische Finanztransaktionen durchzuführen.

Was Nutzer jetzt tun sollten

Die Botschaft ist eindeutig: Sicherheitsupdates sind kein Luxus, sondern Pflicht. Wer 7-Zip nutzt, sollte noch heute Version 26.02 installieren. Wer WordPress betreibt, sollte prüfen, ob die automatischen Updates gegriffen haben. Und wer WinRAR oder andere Archivierungsprogramme einsetzt, sollte sicherstellen, dass die aktuellste Version läuft.

Denn eines zeigt die aktuelle Lage deutlich: Angreifer schlafen nicht – und die Lücken, die sie ausnutzen, sind oft älter als gedacht.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69798796 |