「7-Zip」v16.00には危険な脆弱性の修正も。「PeaZip」にもアップデートが提供される

「7-Zip」v16.00

　米Ciscoのセキュリティ部門Talosは11日（現地時間）、解凍・圧縮ツール「7-Zip」に2件の脆弱性が存在することを明らかにした。この脆弱性は「7-Zip」の最新版v16.00で修正されているという。

　1つ目の脆弱性（CVE-2016-2335）は、「7-Zip」がUDFファイルを処理する方法に問題があり、境界外のデータが読み取り可能となるもの。最悪の場合、任意コードの実行につながる恐れがある。共通脆弱性評価システム“CVSS 3.0”のスコアは、10点満点中“7.3（危険）”。

　2つ目は“Archive::NHfs::CHandler::ExtractZlibFile”メソッドにおける脆弱性（CVE-2016-2334）で、バッファオーバーフローに続いてヒープ破壊に至る原因となりうる。

　「7-Zip」v16.00における機能上の変更点については、下記リンクのニュース記事を参照してほしい。

　なお、「7-Zip」をバックエンドとして利用している「PeaZip」にもアップデートが提供されており、これらの脆弱性への対策を盛り込んだ最新版v6.0.2が利用できる。利用中のユーザーはアップデートを怠らないようにしてほしい。