In der Version 18.01 der auch für kommerziellen Einsatz kostenfreien Applikation 7-Zip werden die folgenden Sicherheitslücken geschlossen:
- Improper exception handling in 7-Zip’s RAR3 handler can cause heap or stack memory corruptions (CVE-2018-5996)
- A heap buffer overflow vulnerability in 7-Zip’s shrink decoder. (CVE-2017-17969)
Bei der erfolgreichen Ausnutzung ist eine Systemübernahme bei entsprechenden administrativen Berechtigungen des angemeldeten Benutzers oder aber zumindest ein unbemerkter Datenabfluss möglich.
Aktuell wird die benannte Version nur in englischer Sprache zum Download angeboten.
Die genaueren Sachverhalt zu den beiden Sicherheitslücken sind im Details auf der Webseite von Dave nachzulesen.