19年前から存在か ～圧縮・解凍ソフト「WinRAR」にゼロデイ脆弱性

　イスラエルのセキュリティベンダーCheck Point Software Technologiesは2月20日（現地時間）、圧縮・解凍ソフト「WinRAR」にゼロデイ脆弱性が存在することを明らかにした。19年前から存在する脆弱性であるという。

　同社によると、「WinRAR」が内部で利用しているサードパーティ製ライブラリ「UNACEV2.DLL」にはディレクトリトラバーサルの欠陥があり、指定したパスとは異なるパスにファイルを作成できてしまうとのこと。細工を施したACE形式書庫を「WinRAR」で処理させれば、悪意ある実行ファイルを攻撃者の望む場所に配置できるため、任意のコードが実行されてしまう危険性がある。

　「UNACEV2.DLL」は2005年以降アップデートされておらず、ソースコードも公開されていない。そのため、「WinRAR」の開発元はACEファイルのサポートを断念。今年1月にリリースされた「WinRAR 5.70 Beta 1」で当該ライブラリを「WinRAR」から削除している。

　しかし、正式版の「WinRAR」（v5.61）ではまだ対策が施されておらず、脆弱性を抱えたままだ。「WinRAR」で出所の不明な書庫ファイルを扱う際は注意を要する。