老舗の解凍ツール「解凍レンジ」に任意コード実行の脆弱性 ～JVNが利用中止を呼びかけ

「JVN」の脆弱性情報（JVN#13113728）

　脆弱性ポータルサイト「JVN」は3月25日、「解凍レンジ」に脆弱性（CVE-2024-28131）が存在することを公表した。展開したファイルを「エクスプローラー」で表示する際の検索パスに問題があり、展開したファイルと同じフォルダーに存在する実行ファイルを誤って読み込んでしまう可能性がある。最悪の場合、プログラムを実行している権限で任意のコードを実行できてしまう。

　「解凍レンジ」は、シンプルな操作性が売りの解凍専用ソフト。デスクトップに配置したショートカットファイルへドラッグ＆ドロップするだけで書庫ファイルを展開することができる。1999年のv1.0リリース当初は、サードパーティーの解凍DLLを必要とせず、アプリ本体のみでLHA/ZIP/CABの3種類に対応しているのも魅力だった。執筆時現在の最新版は、2002年6月公開のv1.41。

ンプルな操作性が売りの解凍専用ソフト「解凍レンジ」

　JVNによると、「解凍レンジ」の開発者とは連絡がとれておらず、脆弱性への対策状況は不明とのこと。JVNは利用の中止を呼び掛けている。

「Microsoft Edge」ではダウンロード時に警告が発せられる