ニュース

解凍・圧縮ソフト「7-Zip」に未修正の脆弱性 ~セキュリティ研究者が明らかに

ヘルプファイルの削除で緩和可能

「GitHub」で公開されたセキュリティアドバイザリ

 解凍・圧縮ソフト「7-Zip」に未修正の脆弱性(CVE-2022-29072)が存在することが明らかになった。セキュリティ研究家のKağan Çaparが4月16日、その内容と攻撃を実演したビデオを「GitHub」で公開している。

 それによると、v21.07(現行版)までのWindows版「7-Zip」にはファイルマネージャープロセス(7zFM.exe/7-zip.dll)のヒープオーバーフローと「Microsoft HTML ヘルプ」(HTML Help Executable Program/hh.exe)のコマンド実行機能を組み合わせることにより、管理者モードでコマンドが実行できる。「7-Zip」は[ヘルプ]-[ヘルプの表示]メニューでヘルプビューワーを開くことができるが、ここに拡張子を.7zにしたファイルをドラッグ&ドロップすれば、特権昇格とコマンドの実行が可能になるという。

[ヘルプ]-[ヘルプの表示]メニューで開いたヘルプビューワー

 「7-Zip」の開発者はこの問題の原因を「hh.exe」(Microsoftのヘルプビューワー)にあるとし、Microsoft側での対応を要求しているとのことだが、「7-Zip」側のヒープオーバーフローも脆弱性の一因となっているのは事実で、対策が求められる。

 Çapar氏によると、この問題はヘルプファイル(7-zip.chm)の削除で緩和が可能。ただし、ヘルプを参照することはできなくなる。また、もう1つの緩和策として「7-zip」のプログラムに読み取り権限と実行権限のみを設定する方法を紹介している。