35

7Zip ist ein Sicherheitsrisiko?

Meta

Erstellt: 24. Februar 2019
Modifiziert: 24. Februar 2019

7Zip ist wahrscheinlich das beliebteste Packertool in der IT. Obwohl das Tool ab und an als unsicher bezeichnet wird. Ich habe ein wenig Zeit investiert, um mir selber eine Meinung zu bilden.

Igor Pavlov ist ein IT Freelancer, welcher alleine dieses Programm entwickelt hat. Und er hat es den Menschen geschenkt (“Open Source”). Alleine für diese intellektuelle Leistung steht er für mich auf der Höhe von Mark Russinovich / Bryce Cogswell (SysInternals), Irfan Škiljan (IrfanView) oder Nir Sofer (NirSoft). Sowohl als Programmierer als auch als Unternehmer (“Entrepreneur”).

Der Entwickler unterstützt erst ab der Version 18 DEP und ASLR (Puffer Überlauf). Da inzwischen die Version 19 am Start ist, hat sich das also erledigt.
Der zweite Kritikpunkt ist, die Installationsdatei (.EXE). Da die Quelldateien der Installation in ein Verzeichnis ausgepackt wird, wo die Schreibrechte nicht der Bentzergruppe “Administrator” vorbehalten sind, kann ein Malwareprogamm eine DLL “austauschen. Sogenanntes DLL Hijacking. Der Vektor funktioniert auch für die portable Version. Wer diesen Angriffsvektor umgehen will, hat zwei Möglichkeiten:

  • MSI Installer - Version 19 - auf der SourceForce (siehe Abschnitt Quellen) verwenden
  • Selber kompilieren. Ja anders als bei Linux zucken bei diesem Gedanken auch Windows Profis zusammen 8-)

Englische Anleitungen für MS Visual Studio Code und das kompilieren von 7Zip sind im Internet vorhanden. Von Visual Studio Code ist auch eine kostenlose Variante verfügbar. Und auch mit Visual Studio Code sollte man gemäss dieser Anleitung von Stack Overflow Code kompilieren können.

Last but not least: Wie ich las, berücksichtigt 7-ZIP GPOs (Gruppenrichtlinien) NICHT. D.h. wenn der Admin im Windows Netzwer Laufwerke / Freigaben ausblendet werden diese dennnoch angezeigt. Das würde ich in jedem Fall überprüfen.

Fazit

7Zip bleit mein Packtool. “Sicherheit” hat so viele Facetten und da sind andere Dinge die mir mehr Kopfzerbrechen machen. Zum Glück nimmt sich Igor Pavlov unbezahlt die Zeit, um diese effektive Tool zu pflegen und weiter zu entwickeltn.

Quellen

Letzte Änderung February 24, 2019