7-Zip ist auf Millionen von Windows-Systemen installiert, in Unternehmensumgebungen genauso wie auf privaten Rechnern. Genau deshalb wiegt die aktuelle Schwachstelle schwer: Ein Angreifer kann über eine manipulierte Datei beliebigen Code auf dem Zielsystem ausführen, und der Benutzer muss dafür nur die Datei öffnen.

Was ist passiert?

Jaroslav Lobačevski vom GitHub Security Lab hat eine Heap-Buffer-Overflow-Schwachstelle in 7-Zip Version 26.00 entdeckt und am 24. April 2026 verantwortungsvoll an die Entwickler gemeldet. Die Schwachstelle ist unter CVE-2026-48095 (Advisory GHSL-2026-140) registriert und erhält einen CVSS-3.1-Score von 8.8 (High).
Der Fehler steckt im NTFS-Archiv-Handler von 7-Zip, konkret in der Funktion CInStream::GetCuSize() in der Datei NtfsHandler.cpp. Diese Funktion berechnet die Puffergröße für NTFS-Kompressionseinheiten über eine 32-Bit-Bitverschiebung. Wenn eine präparierte NTFS-Imagedatei bestimmte Werte für die Cluster- und Kompressionsgröße enthält, erreicht der Verschiebungsexponent den Wert 32. In C++ ist das undefiniertes Verhalten, und auf x86-Hardware führt es dazu, dass der interne Lesepuffer _inBuf mit gerade einmal 1 Byte alloziert wird, statt der eigentlich benötigten Größe.
Unmittelbar danach versucht 7-Zip, bis zu 256 MB an Angreifer-kontrollierten Daten in diesen 1-Byte-Puffer zu schreiben. Da das Stream-Objekt CInStream im Heap nur 304 Bytes nach _inBuf liegt, überschreibt die erste Lese-Iteration den vtable-Pointer des Objekts. Beim zweiten Lese-Vorgang wird dieser korrumpierte Pointer dereferenziert, ein klassischer vtable-Hijack, und der Angreifer hat zu diesem Zeitpunkt die volle Kontrolle über den überschriebenen Pointer.
Betroffen sind 32-Bit- und 64-Bit-Builds gleichermaßen. Auf 64-Bit-Systemen mit mindestens 16 GB RAM tritt der Overflow direkt auf. Auf Systemen mit weniger Arbeitsspeicher schlägt eine interne 8-GB-Allokation fehl, was den Angriff auf einen Absturz (Denial of Service) reduziert.

Warum ist das besonders gefährlich?

Der NTFS-Handler in 7-Zip arbeitet mit signaturbasierter Erkennung: Wenn kein anderer Handler eine Datei anhand ihrer Endung verarbeiten kann, prüft 7-Zip alle registrierten Handler nach ihren internen Signaturen. Der NTFS-Handler erkennt sein Format an der Byte-Sequenz „NTFS “ an Position 3 der Datei.
Das bedeutet, ein Angreifer kann eine präparierte NTFS-Imagedatei mit einer beliebigen Dateiendung tarnen: .7z, .zip, .rar, oder auch ohne jede Endung. 7-Zip öffnet sie trotzdem mit dem NTFS-Handler und löst damit die Schwachstelle aus. Für die Ausnutzung reicht es, dass der Benutzer die Datei in 7-Zip öffnet. Ein weiterer Klick oder eine Bestätigung ist nicht erforderlich.
Zusammen mit der Tatsache, dass ein funktionsfähiger Proof-of-Concept-Generator bereits öffentlich verfügbar ist, macht das die Schwachstelle zu einem realen und zeitnahen Risiko.

Wer ist betroffen?

Alle 7-Zip-Versionen bis einschließlich 26.00 sind verwundbar. Der fehlerhafte Code in GetCuSize() existiert seit der NTFS-Compressed-Stream-Unterstützung eingeführt wurde, also über mehrere Versionsgenerationen hinweg.
Bereits drei Tage nach der Meldung, am 27. April 2026, veröffentlichten die 7-Zip-Entwickler Version 26.01 mit einem Fix für diesen Fehler. Der Patch ist damit seit knapp einem Monat verfügbar.