19年前から存在するACE書庫の脆弱性は「Explzh」にも影響 ～対策版のv7.74が公開

「Explzh for Windows」v7.74

　エクスプローラー風のファイル圧縮・解凍ソフト「Explzh for Windows」の最新版v7.74が、2月24日に公開された。64bit版を含むWindows XP/Vista/7/8/8.1/10およびWindows Server 2003/Server 2008に対応しており、現在作者のWebサイトからダウンロード可能。個人での非商用に限り無償で利用できる。

　今回のアップデートでは、ACE形式書庫ファイルを扱う「UNACEV2.DLL」ライブラリに19年前から存在するディレクトリトラバーサルの脆弱性が報告されたことをうけ、ACE書庫のサポートが解凍・圧縮ともに打ち切られた。「UNACEV2.DLL」は2005年以降アップデートされておらず、ソースコードも公開されていない古い形式であるため、この判断は妥当といえるだろう。

　なお、インストーラーを起動した際、Windowsのシステムフォルダーで「UNACEV2.DLL」が発見された場合は自動で削除されるとのこと。「UNACEV2.DLL」の自動更新機能も無効化される。

　そのほかにも、同梱の「UnRAR.dll」や「7z.dll」（7-Zip）といったライブラリが最新版へと差し替えられた。「7-zip」はメジャーバージョンアップにより、7z形式アーカイブの暗号化強度向上が期待できる。

　「Explzh for Windows」は、エクスプローラー風のユーザーインターフェイスをもつファイル圧縮・解凍ソフト。LHA/ZIP/JAR/CAB/RAR形式の書庫、MSI形式のインストーラー、ISO形式のディスクイメージなどを標準で扱えるほか、デジタル署名を施した自己解凍書庫やAES暗号化を施したセキュアなZIP書庫を作成することが可能。統合アーカイバDLLを導入することにより対応する書庫フォーマットを拡張することもできる。