解凍・圧縮ツール「7-Zip」にリモートコード実行の脆弱性

Zero Day Initiativeのセキュリティアドバイザリ

　解凍・圧縮ソフト「7-Zip」に、リモートコード実行の脆弱性が発見された。6月19日にリリースされた「7-Zip 24.07」以降へのアップデートが必要だ。

　この脆弱性は、「Zstandard」における解凍（展開）処理の実装に起因する。ユーザーから提供されるデータを適切に検証しておらず、細工を施すことでメモリへ書き込む前に整数アンダーフローが発生させることが可能。任意のコードを現在のプロセスコンテキストで実行できるようになる。

　問題はTrend Microのセキュリティ部門から6月12日に開発チームへ報告され、ほどなく修正された。両者の調整の上、11月20日にセキュリティアドバイザリが公開されている。深刻度の評価は、CVSSの基本値で「7.8」。できるだけ早い対処が必要だ。

　「7-Zip」は、LZMA/LZMA2アルゴリズムで圧縮された7z形式書庫ファイルを扱うためのツール。ZIP/GZIPなどの書庫ファイルの圧縮・解凍も可能で、解凍だけであればARJ/CAB/LZH/RARなどの形式にも幅広く対応する。開発はオープンソースで行われており、コードの大部分は「GNU LGPL」ライセンス。商用を含め、あらゆる環境で無償利用できるのが強みだ。対応OSは64bit版を含むWindows 2000以降で、現在「7-Zip」の公式サイトや窓の杜ライブラリから無償でダウンロードできる。執筆時現在の最新版は、8月11日リリースの「7-Zip 24.08」。