Bei 7-Zip geht es diesmal nicht um ein neues Release, sondern um eine nachträgliche Sicherheitsveröffentlichung. Wer unter Windows XZ-Dateien aus externen Quellen öffnet, sollte deshalb den eigenen Versionsstand prüfen. ZDI-26-444 vom 15. Juli 2026 beschreibt zu CVE-2026-14266 einen Fehler bei präparierten XZ-Chunk-Daten und nennt 7-Zip 26.02 als behobene Version.
Das Wichtigste in 30 Sekunden
- Der aktuelle Sicherheitsanlass ist das ZDI-Advisory vom 15. Juli 2026, nicht ein neues 7-Zip-Release an diesem Tag.
- Die offizielle 7-Zip-Seite führt Version 26.02 seit dem 25. Juni 2026.
- Unter Windows zuerst den lokalen Stand prüfen, dann das Paket gezielt aktualisieren und anschließend erneut kontrollieren.
- Für WinGet lautet die Paket-ID
7zip.7zip; ein pauschaleswinget upgrade --allist dafür nicht nötig.

Was hinter dem Hinweis steckt
Die Zero Day Initiative veröffentlichte ZDI-26-444 am 15. Juli 2026. Das Advisory behandelt CVE-2026-14266 in der XZ-Verarbeitung von 7-Zip. Bei präparierten XZ-komprimierten Daten kann ein heap-basierter Buffer Overflow entstehen. ZDI bewertet den Fall mit CVSS 7.0 und nennt 7-Zip 26.02 als Fix.
Das rechtfertigt keinen Alarmismus, wohl aber ein gezieltes Update. ZDI beschreibt Nutzerinteraktion als Voraussetzung: Eine betroffene Person muss eine bösartige Seite besuchen oder eine bösartige Datei öffnen. Die Veröffentlichung belegt weder eine aktive Ausnutzung noch einen Zero-Click-Angriff oder eine automatische Infektion. Sinnvoll ist deshalb eine kurze, nachvollziehbare Routine: Version prüfen, nur eine offizielle Quelle nutzen und das Ergebnis kontrollieren.
Die Daten sollte man sauber auseinanderhalten. Die offizielle 7-Zip-Downloadseite datiert 7-Zip 26.02 auf den 25. Juni 2026. Neu ist nicht die Version selbst, sondern die koordinierte Offenlegung des Sicherheitsproblems am 15. Juli. Für Windows-Rechner in privaten Haushalten, kleinen Unternehmen und Teams in Deutschland oder der EU ist das vor allem eine praktische Frage: Ist die passende Version installiert, und wurde sie wirklich übernommen?
Voraussetzungen, Dauer und Schwierigkeit
- System
- Windows-PC mit installiertem 7-Zip
- Dauer
- etwa 5 bis 10 Minuten
- Schwierigkeit
- leicht
- Benötigt
- WinGet oder Zugriff auf die offizielle 7-Zip-Downloadseite
In verwalteten Arbeitsumgebungen können Rechte, Softwareverteilung oder interne Freigaben abweichen. Dann ist der richtige Weg nicht ein Umweg über fremde Downloadseiten, sondern die Abstimmung mit der zuständigen IT. Der Ablauf unten hilft trotzdem weiter: Er macht die installierte Version und das konkrete Paket sichtbar.
7-Zip unter Windows gezielt aktualisieren
- Installierte Version prüfen. Öffnen Sie die Windows-Eingabeaufforderung oder ein Terminal. Prüfen Sie zunächst, ob WinGet 7-Zip erkennt:
winget list --id 7zip.7zip. Die Ausgabe zeigt, ob das Paket auf dem Rechner vorhanden ist und welche Version WinGet zuordnet. - Verfügbares Upgrade ansehen. Rufen Sie
winget upgradeohne Paketargument auf und prüfen Sie, ob7zip.7zipin der Liste erscheint. Lesen Sie die angezeigte Version, bevor Sie fortfahren. Die lokale Quelle entscheidet, was der jeweilige Rechner zu diesem Zeitpunkt anbietet. - Gezielt aktualisieren. Wird das passende Upgrade angezeigt, starten Sie es mit
winget upgrade -e --id 7zip.7zip. Der Schalter-everlangt die exakte Paket-ID. Damit beschränkt sich der Vorgang auf 7-Zip statt weitere Anwendungen auf dem Rechner mitzunehmen. - Installer-Hinweise abschließen. Bestätigen Sie nur die Hinweise, die der eigene Windows- oder Unternehmensprozess verlangt. Schließen Sie 7-Zip, falls ein Installer dazu auffordert.
- Versionsstand erneut prüfen. Führen Sie nach dem Abschluss nochmals
winget list --id 7zip.7zipaus. Prüfen Sie, ob 26.02 angezeigt wird. Alternativ lässt sich die Versionsinformation in der 7-Zip-Anwendung über die Programminformation kontrollieren.

Der letzte Schritt wird leicht übersehen. Erst er macht aus dem Update einen nachvollziehbaren Abschluss. Wenn WinGet die lokale Installation nicht auflistet oder eine andere Paketquelle verwendet wird, ist das kein Beweis für einen Fehler. Es heißt zunächst nur, dass der WinGet-Readback den gewünschten Stand auf diesem Rechner nicht bestätigt.
Wenn WinGet 26.02 nicht anbietet
Dann bleibt die offizielle Downloadseite von 7-Zip der passende Alternativweg. Dort stehen Windows-Installer für x64, x86 und ARM64 bereit. Wählen Sie die Architektur, die zum eigenen Windows-System passt, installieren Sie das Paket und kontrollieren Sie danach die Version erneut in 7-Zip oder über die lokale Paketverwaltung.
Auch hier gilt: Das Advisory enthält keine vollständige Matrix aller älteren Versionen und Installationswege. Wer 7-Zip über eine Unternehmensverteilung oder einen anderen Paketmanager erhält, sollte nicht raten, sondern den dort dokumentierten Versionsstand prüfen lassen. Für Linux und macOS nennt dieser Artikel bewusst keine Befehle, weil dafür kein distributions- oder herstellerbezogener 26.02-Stand verifiziert wurde.
Vier typische Fehler beim Update
| Fehler | Besserer Weg |
|---|---|
winget upgrade --all nur wegen dieses Hinweises ausführen |
Das Paket mit -e --id 7zip.7zip eingrenzen. |
| Links aus Mails oder unbekannten Portalen als Downloadquelle nutzen | Nur die offizielle 7-Zip-Seite oder den lokal geprüften WinGet-Weg verwenden. |
| Release und Sicherheitsveröffentlichung gleichsetzen | 25. Juni für das Release, 15. Juli für die ZDI-Offenlegung getrennt einordnen. |
| Den Update-Vorgang ohne Readback beenden | Den Versionsstand danach erneut abfragen oder in 7-Zip kontrollieren. |

Häufige Fragen
Muss ich 7-Zip sofort deinstallieren?
Das ZDI-Advisory nennt 7-Zip 26.02 als Fix. Sinnvoll ist deshalb, den eigenen Stand zu prüfen und gezielt zu aktualisieren, wenn die lokale Prüfung ein passendes Upgrade oder die offizielle Installation ermöglicht.
Ist jede ältere 7-Zip-Version betroffen?
Das vorliegende Advisory nennt keine vollständige Liste aller betroffenen Vorgängerversionen oder Plattformen. Eine pauschale Aussage wäre deshalb nicht belastbar.
Wurde die Schwachstelle bereits aktiv ausgenutzt?
Für eine aktive Ausnutzung liefert das hier genutzte Primäradvisory keinen Nachweis. Der Beitrag behauptet das daher nicht.
Quellen und weiterführende Informationen
- ZDI-26-444: 7-Zip XZ Decompression Heap-based Buffer Overflow Remote Code Execution Vulnerability
- 7-Zip: offizielle Downloadseite
- ip7z/7zip: Release 26.02
- Microsoft Learn: upgrade command (winget)
- Microsoft WinGet: Manifest für 7zip.7zip 26.02
Hinweis: Für diesen Artikel wurden KI-gestützte Recherche- und Editierwerkzeuge verwendet. Der Inhalt wurde redaktionell geprüft. Stand: 2026-07-19