ニュース
解凍・圧縮ツール「7-Zip」にリモートコード実行の脆弱性
「7-Zip 24.07」以降へのアップデートが必要
2024年11月26日 08:23
解凍・圧縮ソフト「7-Zip」に、リモートコード実行の脆弱性が発見された。6月19日にリリースされた「7-Zip 24.07」以降へのアップデートが必要だ。
この脆弱性は、「Zstandard」における解凍(展開)処理の実装に起因する。ユーザーから提供されるデータを適切に検証しておらず、細工を施すことでメモリへ書き込む前に整数アンダーフローが発生させることが可能。任意のコードを現在のプロセスコンテキストで実行できるようになる。
問題はTrend Microのセキュリティ部門から6月12日に開発チームへ報告され、ほどなく修正された。両者の調整の上、11月20日にセキュリティアドバイザリが公開されている。深刻度の評価は、CVSSの基本値で「7.8」。できるだけ早い対処が必要だ。
「7-Zip」は、LZMA/LZMA2アルゴリズムで圧縮された7z形式書庫ファイルを扱うためのツール。ZIP/GZIPなどの書庫ファイルの圧縮・解凍も可能で、解凍だけであればARJ/CAB/LZH/RARなどの形式にも幅広く対応する。開発はオープンソースで行われており、コードの大部分は「GNU LGPL」ライセンス。商用を含め、あらゆる環境で無償利用できるのが強みだ。対応OSは64bit版を含むWindows 2000以降で、現在「7-Zip」の公式サイトや窓の杜ライブラリから無償でダウンロードできる。執筆時現在の最新版は、8月11日リリースの「7-Zip 24.08」。
ソフトウェア情報
- 「7-Zip」
- 【著作権者】
- Igor Pavlov 氏
- 【対応OS】
- 64bit版を含むWindows 2000/XP/Vista/7/8/10およびWindows Server 2003/2008/2012/2016/2019
- 【ソフト種別】
- フリーソフト
- 【バージョン】
- 24.08(24/08/11)