ニュース

「7-ZIP32.DLL」で作成した自己解凍書庫に脆弱性、展開時に任意コード実行の恐れ

最新版へ更新した上で自己解凍書庫ファイルの再作成を

“JVN”の脆弱性レポート“JVN#86200862”

 7Z/ZIP形式の書庫ファイルを解凍・圧縮するライブラリ「7-ZIP32.DLL」の最新版v9.22.00.02が、8日に公開された。現在、作者のWebサイトから無償でダウンロードできる。

 「7-ZIP32.DLL」は、“Common Archivers Library”の仕様に準拠した7Z/ZIP形式の解凍・圧縮ライブラリ。Igor Pavlov氏が開発した本家「7-Zip」やその他のZIP互換アーカイバーよりも圧縮率の高いZIP書庫を作成できるという。

 本バージョンにおける変更点は、「7-ZIP32.DLL」で作成した自己解凍書庫ファイルが解凍処理の際にディレクトリ検索パスを適切に処理しないため、意図しないDLLを読み込んでしまう恐れがあるという脆弱性を修正したこと。この問題は、本家「7-Zip」v16.03で修正された脆弱性と同様の問題であるという。

 17日付けで公開された脆弱性ポータルサイト“JVN”のレポート(JVN#86200862)によると、本脆弱性は「7-ZIP32.DLL」v9.22.00.01およびそれ以前のバージョンに影響し、最悪の場合、自己解凍書庫ファイルを実行している権限で任意のコードが実行されてしまう恐れがある。古いバージョンの「7-ZIP32.DLL」で作成した自己解凍書庫ファイルを公開している場合は、最新版の「7-ZIP32.DLL」で自己解凍書庫ファイルを作成し直すことが推奨されている。

ソフトウェア情報

「7-ZIP32.DLL」
【著作権者】
秋田 稔 氏
【対応OS】
Windows 95/98/Me/NT/2000/XP/Vista/7/8/8.1
【ソフト種別】
フリーソフト
【バージョン】
9.22.00.02(17/02/08)