Security-Risk: Avoid 7-Zip

General
,
1

WARNING:

7-Zip is a security risk!
Avoid using the free tool 7-Zip and remove it from your systems.

Security-Risk: Avoid 7-ZipBorn’s Tech and Windows World

ACHTUNG:

7zip ist ein Sicherheitsrisiko!
Vermeidet die Verwendung des kostenlosen Tools 7-Zip und verbannt es von euren Systemen.

Warnung: Auf 7-Zip verzichten | Borns IT- und Windows-BlogBorns IT- und Windows-Blog

My recommendation:
Meine Empfehlung:

PeaZip free archiver utility, open extract RAR TAR ZIP files

[ENGLISH]
PeaZip is an excellent choice for anyone looking for a secure, modern, and fully transparent file archiver.
As an open‑source project, PeaZip offers not only a wide range of features but also a high level of trust and verifiability.

Why PeaZip is worth recommending:

  • Open Source & transparent
    The entire source code is publicly available, allowing security researchers and the community to verify the implementation at any time.
  • Strong security & encryption
    PeaZip supports modern encryption standards such as AES‑256 and includes secure password handling, key management, and optional two‑factor protection for archives.
  • No telemetry or hidden tracking
    PeaZip contains no ads, no data collection, and no background communication.
    Perfect for privacy‑focused users.
  • Wide format support
    Supports over 200 archive and file formats, including ZIP, 7Z, RAR, TAR, GZ, ISO, and many more.
  • Cross‑platform & portable
    Available for Windows, Linux, and BSD — also as a portable version without installation.
  • Actively maintained & community‑driven
    Frequent updates, fast bugfixes, and an engaged developer community.

In short:
PeaZip is a powerful, secure, and trustworthy archiving tool that avoids unnecessary bloat and is ideal for users who value transparency and privacy.



[DEUTSCH]
PeaZip ist eine hervorragende Wahl für alle, die ein sicheres, modernes und vollständig transparentes Archiv‑Tool suchen.
Als Open‑Source‑Projekt bietet PeaZip nicht nur eine große Funktionsvielfalt, sondern auch ein hohes Maß an Vertrauen und Nachvollziehbarkeit.

Warum PeaZip empfehlenswert ist:

  • Open Source & transparent
    Der gesamte Quellcode ist öffentlich einsehbar. Dadurch können Sicherheitsforscher und die Community jederzeit prüfen, ob alles sauber implementiert ist.
  • Starke Sicherheit & Verschlüsselung
    PeaZip unterstützt moderne Verschlüsselungsverfahren wie AES‑256 und bietet sichere Passwort‑ und Schlüsselverwaltung.
    Zusätzlich gibt es Funktionen wie sichere Löschung, Passwort‑Manager und Zwei‑Faktor‑Schutz für Archive.
  • Keine versteckten Telemetrie‑Daten
    PeaZip verzichtet auf Tracking, Werbung oder Hintergrundkommunikation.
    Ideal für Nutzer, die Wert auf Datenschutz legen.
  • Breite Formatunterstützung
    Über 200 Archiv‑ und Dateiformate werden unterstützt, darunter ZIP, 7Z, RAR, TAR, GZ, ISO und viele mehr.
  • Plattformübergreifend & portabel
    Läuft unter Windows, Linux und BSD — auch als portable Version ohne Installation.
  • Aktiv gepflegt & community‑getrieben
    Regelmäßige Updates, schnelle Bugfixes und eine engagierte Entwickler‑Community.

Kurz gesagt:
PeaZip ist ein leistungsstarkes, sicheres und vertrauenswürdiges Archiv‑Tool, das ohne Ballast auskommt und sich perfekt für Nutzer eignet, die Wert auf Transparenz und Datenschutz legen.

1 Like
2

Hi!

Ja danke für die Warnung!

PeaZip benutzt aber für 7z Archive direkt Programmcode von 7z… (wird in den Kommentaren erwähnt und diskutiert)

Inwiefern das die selbe Sicherheitslücke (und in welchen Versionen ) produziert weiß ich aber auch nicht.

Ich nehme mal an dass nur für 7z Archive auf die Programmroutinen aus dem originalen 7z Code zurückgegriffen wird, aber wissen tu ich es auch nicht.

Vielleicht find ich ja noch eine Diskette mit arj wieder…^^

(Für die denen das so gar nichts sagt, das war das Kompressionstool das unter DOS weit verbreitet war)

Aber eine wirklich geprüfte Alternative wüßte ich jetzt leider auch nicht…

Hi!

Yes, thanks for the warning!

PeaZip uses 7z program code directly for 7z archives… (this is mentioned and discussed in the comments).

However, I don’t know to what extent this produces the same security vulnerability (and in which versions).

I assume that the program routines from the original 7z code are only used for 7z archives, but I don’t know for sure.

Maybe I’ll find a floppy disk with arj again…^^

(For those who don’t know what that is, it was the compression tool that was widely used under DOS.)

But unfortunately, I don’t know of a truly tested alternative right now…

2 Likes
3

Bin auf der Suche nach Kompressionstools auf IZArc gestossen, da kann man schon während der Installation festlegen in welchen Verzeichnissen das Programm arbeiten darf…

Kannst du dir ja mal anschauen - ich denke du hast da mehr Ahnung welches Tool am sichersten ist…

1 Like
4

lol , arj on a 4,25 diskette :slight_smile:

2 Likes
5

Hey Oxensplit,
Thanks for your detailed reply.
I’ve taken a closer look at IZArc. Here’s what I found:

IZArc is outdated and barely maintained

IZArc had its heyday over 10-15 years ago.

Since then:

  • very few updates
  • long periods without security fixes
  • no active community
  • no transparent development
  • no modern cryptography

This is a real risk for an archiving tool.

2. IZArc is closed source → no transparency

This means:

  • no one can check if the code is secure
  • no one can see if vulnerabilities exist
  • no one can track whether data is being collected
  • security gaps often remain undiscovered for a long time

This is a problem for archiving software because archives have complex parsers that can be vulnerable.

3. PeaZip + 7-Zip engine is more secure than IZArc

Why?

:check_mark: The 7-Zip engine is open source
→ Security researchers constantly review it
→ Vulnerabilities are quickly found and fixed
:check_mark: PeaZip updates the engine regularly
→ You get the fixes automatically
:check_mark: PeaZip has additional security features

  • AES-256 encryption
  • Secure deletion
  • Password manager
  • Two-factor authentication
  • No telemetry
  • No ads
  • No background processes

IZArc has none of these.

4. IZArc even had malware problems in the past

There were versions that:

  • Contained adware
  • Installed browser hijackers
  • Contained questionable additional software

This is a massive loss of trust.

PeaZip, on the other hand:

  • 100% clean
  • Open Source
  • No bundles
  • No ads

5. Format Support

IZArc supports many formats, but:

  • No modern ZSTD
  • No Brotli
  • No LZMA2 tuning
  • No modern TAR pipeline
  • ​​No strong encryption

PeaZip is significantly more modern in this regard.

Conclusion

IZArc is not more secure, not more modern, and not better than PeaZip.
On the contrary:

  • Fewer updates
  • Less security
  • Closed Source
  • Previous adware problems
  • Technically outdated

If you value security, transparency, and modern features, PeaZip is the clearly better choice.

Hey Oxensplit,
Danke für deine ausführlich Antwort.
Ich habe IZArc mal durchleuchtet. Hier ist das Ergebnis:

IZArc ist veraltet und wird kaum noch gepflegt

IZArc hatte seine Hochphase vor über 10–15 Jahren.
Seitdem:

  • sehr wenige Updates
  • lange Zeiträume ohne Sicherheitsfixes
  • keine aktive Community
  • keine transparente Entwicklung
  • keine moderne Kryptografie

Das ist für ein Archiv‑Tool ein echtes Risiko.

2. IZArc ist Closed Source → keine Transparenz

Das bedeutet:

  • niemand kann prüfen, ob der Code sicher ist
  • niemand sieht, ob Schwachstellen existieren
  • niemand kann nachvollziehen, ob Daten gesammelt werden
  • Sicherheitslücken bleiben oft lange unentdeckt

Bei Archiv‑Software ist das ein Problem, weil Archive komplexe Parser haben, die anfällig sein können.

3. PeaZip + 7‑Zip‑Engine ist sicherer als IZArc

Warum?

:check_mark: 7‑Zip‑Engine ist Open Source
→ Sicherheitsforscher prüfen sie ständig
→ Schwachstellen werden schnell gefunden und gefixt
:check_mark: PeaZip aktualisiert die Engine regelmäßig
→ du bekommst die Fixes automatisch
:check_mark: PeaZip hat zusätzliche Sicherheitsfunktionen

  • AES‑256
  • sichere Löschung
  • Passwort‑Manager
  • Zwei‑Faktor‑Archivschutz
  • keine Telemetrie
  • keine Werbung
  • keine Hintergrundprozesse

IZArc hat davon nichts.

4. IZArc hatte in der Vergangenheit sogar Malware‑Probleme

Es gab Versionen, die:

  • Adware enthielten
  • Browser‑Hijacker mitinstallierten
  • fragwürdige Zusatzsoftware enthielten

Das ist ein massiver Vertrauensverlust.

PeaZip dagegen:

  • 100% sauber
  • Open Source
  • keine Bundles
  • keine Werbung

5. Format‑Support

IZArc unterstützt viele Formate, aber:

  • kein modernes ZSTD
  • kein Brotli
  • kein LZMA2‑Tuning
  • kein moderne TAR‑Pipeline
  • keine starke Verschlüsselung

PeaZip ist hier deutlich moderner.

Fazit

IZArc ist nicht sicherer, nicht moderner und nicht besser als PeaZip.
Im Gegenteil:

  • weniger Updates
  • weniger Sicherheit
  • Closed Source
  • frühere Adware‑Probleme
  • technisch veraltet

Wenn du Wert auf Sicherheit, Transparenz und moderne Features legst, ist PeaZip die deutlich bessere Wahl.

1 Like
6

Ah ok, danke dir für die schnelle detaillierte Erklärung :slight_smile:

2 Likes
7

danke ist gelöst

1 Like
8

Quote aus genannter Quelle “Nachtrag 2: Aktuelle Versionen verwenden

Der Artikel stammt von Anfang 2018. Inzwischen wurden neuere 7-Zip-Versionen wohl mit modernen Compilern und entsprechenden Compiler-Optionen erstellt, so dass die oben beschriebenen Risiken durch Verzicht auf DEP und ASLR in aktuellen 7-Zip-Versionen nicht mehr bestehen sollten. Allerdings sollte man darauf achten, dass 7-Zip aktuell ist. Und noch ein Tipp: Um beim Installer nicht Opfer eines DLL-Hijacking-Angriffs zu werden, empfehle ich, auf die .exe-Installer zu verzichten und stattdessen die .msi-Installer zu verwenden.“

1 Like
9

Genau das war ja bei mir das Problem!
Ich wollte 7‑Zip aktualisieren und habe dabei festgestellt,
dass das neueste Update auf der offiziellen 7‑Zip‑Seite vom 03.08.2025 war.
Deshalb habe ich ein wenig nachgeforscht …