Technik

7-Zip 26.02 aktualisieren: Version prüfen und XZ-Lücke schließen

CVE-2026-14266 betrifft die XZ-Verarbeitung in 7-Zip. So prüfen Windows-Nutzer Version 26.02, aktualisieren gezielt und kontrollieren das Ergebnis.

Von Wolfgang

19. Juli 20265 Min. Lesezeit

7-Zip 26.02 aktualisieren: Version prüfen und XZ-Lücke schließen

CVE-2026-14266 betrifft die XZ-Verarbeitung in 7-Zip. So prüfen Windows-Nutzer Version 26.02, aktualisieren gezielt und kontrollieren das Ergebnis.

Bei 7-Zip geht es diesmal nicht um ein neues Release, sondern um eine nachträgliche Sicherheitsveröffentlichung. Wer unter Windows XZ-Dateien aus externen Quellen öffnet, sollte deshalb den eigenen Versionsstand prüfen. ZDI-26-444 vom 15. Juli 2026 beschreibt zu CVE-2026-14266 einen Fehler bei präparierten XZ-Chunk-Daten und nennt 7-Zip 26.02 als behobene Version.

Das Wichtigste in 30 Sekunden

  • Der aktuelle Sicherheitsanlass ist das ZDI-Advisory vom 15. Juli 2026, nicht ein neues 7-Zip-Release an diesem Tag.
  • Die offizielle 7-Zip-Seite führt Version 26.02 seit dem 25. Juni 2026.
  • Unter Windows zuerst den lokalen Stand prüfen, dann das Paket gezielt aktualisieren und anschließend erneut kontrollieren.
  • Für WinGet lautet die Paket-ID 7zip.7zip; ein pauschales winget upgrade --all ist dafür nicht nötig.

Was hinter dem Hinweis steckt

Die Zero Day Initiative veröffentlichte ZDI-26-444 am 15. Juli 2026. Das Advisory behandelt CVE-2026-14266 in der XZ-Verarbeitung von 7-Zip. Bei präparierten XZ-komprimierten Daten kann ein heap-basierter Buffer Overflow entstehen. ZDI bewertet den Fall mit CVSS 7.0 und nennt 7-Zip 26.02 als Fix.

Das rechtfertigt keinen Alarmismus, wohl aber ein gezieltes Update. ZDI beschreibt Nutzerinteraktion als Voraussetzung: Eine betroffene Person muss eine bösartige Seite besuchen oder eine bösartige Datei öffnen. Die Veröffentlichung belegt weder eine aktive Ausnutzung noch einen Zero-Click-Angriff oder eine automatische Infektion. Sinnvoll ist deshalb eine kurze, nachvollziehbare Routine: Version prüfen, nur eine offizielle Quelle nutzen und das Ergebnis kontrollieren.

Die Daten sollte man sauber auseinanderhalten. Die offizielle 7-Zip-Downloadseite datiert 7-Zip 26.02 auf den 25. Juni 2026. Neu ist nicht die Version selbst, sondern die koordinierte Offenlegung des Sicherheitsproblems am 15. Juli. Für Windows-Rechner in privaten Haushalten, kleinen Unternehmen und Teams in Deutschland oder der EU ist das vor allem eine praktische Frage: Ist die passende Version installiert, und wurde sie wirklich übernommen?

Voraussetzungen, Dauer und Schwierigkeit

System
Windows-PC mit installiertem 7-Zip
Dauer
etwa 5 bis 10 Minuten
Schwierigkeit
leicht
Benötigt
WinGet oder Zugriff auf die offizielle 7-Zip-Downloadseite

In verwalteten Arbeitsumgebungen können Rechte, Softwareverteilung oder interne Freigaben abweichen. Dann ist der richtige Weg nicht ein Umweg über fremde Downloadseiten, sondern die Abstimmung mit der zuständigen IT. Der Ablauf unten hilft trotzdem weiter: Er macht die installierte Version und das konkrete Paket sichtbar.

7-Zip unter Windows gezielt aktualisieren

  1. Installierte Version prüfen. Öffnen Sie die Windows-Eingabeaufforderung oder ein Terminal. Prüfen Sie zunächst, ob WinGet 7-Zip erkennt: winget list --id 7zip.7zip. Die Ausgabe zeigt, ob das Paket auf dem Rechner vorhanden ist und welche Version WinGet zuordnet.
  2. Verfügbares Upgrade ansehen. Rufen Sie winget upgrade ohne Paketargument auf und prüfen Sie, ob 7zip.7zip in der Liste erscheint. Lesen Sie die angezeigte Version, bevor Sie fortfahren. Die lokale Quelle entscheidet, was der jeweilige Rechner zu diesem Zeitpunkt anbietet.
  3. Gezielt aktualisieren. Wird das passende Upgrade angezeigt, starten Sie es mit winget upgrade -e --id 7zip.7zip. Der Schalter -e verlangt die exakte Paket-ID. Damit beschränkt sich der Vorgang auf 7-Zip statt weitere Anwendungen auf dem Rechner mitzunehmen.
  4. Installer-Hinweise abschließen. Bestätigen Sie nur die Hinweise, die der eigene Windows- oder Unternehmensprozess verlangt. Schließen Sie 7-Zip, falls ein Installer dazu auffordert.
  5. Versionsstand erneut prüfen. Führen Sie nach dem Abschluss nochmals winget list --id 7zip.7zip aus. Prüfen Sie, ob 26.02 angezeigt wird. Alternativ lässt sich die Versionsinformation in der 7-Zip-Anwendung über die Programminformation kontrollieren.
Hände an Tastatur und Maus neben einer leeren Checkliste für eine geordnete Softwareprüfung.
Erst prüfen, welches Paket der eigene Rechner erkennt; danach nur das passende Upgrade starten.

Der letzte Schritt wird leicht übersehen. Erst er macht aus dem Update einen nachvollziehbaren Abschluss. Wenn WinGet die lokale Installation nicht auflistet oder eine andere Paketquelle verwendet wird, ist das kein Beweis für einen Fehler. Es heißt zunächst nur, dass der WinGet-Readback den gewünschten Stand auf diesem Rechner nicht bestätigt.

Wenn WinGet 26.02 nicht anbietet

Dann bleibt die offizielle Downloadseite von 7-Zip der passende Alternativweg. Dort stehen Windows-Installer für x64, x86 und ARM64 bereit. Wählen Sie die Architektur, die zum eigenen Windows-System passt, installieren Sie das Paket und kontrollieren Sie danach die Version erneut in 7-Zip oder über die lokale Paketverwaltung.

Auch hier gilt: Das Advisory enthält keine vollständige Matrix aller älteren Versionen und Installationswege. Wer 7-Zip über eine Unternehmensverteilung oder einen anderen Paketmanager erhält, sollte nicht raten, sondern den dort dokumentierten Versionsstand prüfen lassen. Für Linux und macOS nennt dieser Artikel bewusst keine Befehle, weil dafür kein distributions- oder herstellerbezogener 26.02-Stand verifiziert wurde.

Vier typische Fehler beim Update

Fehler Besserer Weg
winget upgrade --all nur wegen dieses Hinweises ausführen Das Paket mit -e --id 7zip.7zip eingrenzen.
Links aus Mails oder unbekannten Portalen als Downloadquelle nutzen Nur die offizielle 7-Zip-Seite oder den lokal geprüften WinGet-Weg verwenden.
Release und Sicherheitsveröffentlichung gleichsetzen 25. Juni für das Release, 15. Juli für die ZDI-Offenlegung getrennt einordnen.
Den Update-Vorgang ohne Readback beenden Den Versionsstand danach erneut abfragen oder in 7-Zip kontrollieren.
Neutraler IT-Arbeitsplatz mit geschlossenem Laptop, externem Laufwerk und Notizbuch nach einer Wartungsroutine.
Eine offizielle Quelle und ein anschließender Readback machen den Update-Schritt nachvollziehbar.

Häufige Fragen

Muss ich 7-Zip sofort deinstallieren?

Das ZDI-Advisory nennt 7-Zip 26.02 als Fix. Sinnvoll ist deshalb, den eigenen Stand zu prüfen und gezielt zu aktualisieren, wenn die lokale Prüfung ein passendes Upgrade oder die offizielle Installation ermöglicht.

Ist jede ältere 7-Zip-Version betroffen?

Das vorliegende Advisory nennt keine vollständige Liste aller betroffenen Vorgängerversionen oder Plattformen. Eine pauschale Aussage wäre deshalb nicht belastbar.

Wurde die Schwachstelle bereits aktiv ausgenutzt?

Für eine aktive Ausnutzung liefert das hier genutzte Primäradvisory keinen Nachweis. Der Beitrag behauptet das daher nicht.

Quellen und weiterführende Informationen

Hinweis: Für diesen Artikel wurden KI-gestützte Recherche- und Editierwerkzeuge verwendet. Der Inhalt wurde redaktionell geprüft. Stand: 2026-07-19