解凍・圧縮ツール「7-Zip」に「Mark of the Web」をバイパスできる脆弱性

Zero Day Initiativeのセキュリティアドバイザリ

　解凍・圧縮ソフト「7-Zip」に、「Mark of the Web」をバイパスできる脆弱性（CVE-2025-0411）があるとのこと。Trend Microのセキュリティチーム「Zero Day Initiative」が米国時間1月19日、アドバイザリを公開した。

　「Mark of the Web」（MOTW）は、Windows環境でインターネットからダウンロードされたファイルに付与される特殊なメタデータ。NTFSファイルシステムの代替データストリーム（Alternate Data Streams：ADS）という機能で実現されており、ファイルの入手先が信頼できないことを示す。「MOTW」を持つファイルを実行すると、Windowsは警告を発する。

　しかし、バージョンの古い「7-Zip」は書庫ファイルからファイルを抽出する処理に欠陥があり、書庫ファイルに細工が施してあると「MOTW」を抽出ファイルへ伝播しない。そのため、警告システムをパイバスしてユーザーに悪意あるファイルを実行させることができうる。

　この問題は、昨年11月29日にリリースされた「7-Zip 24.09」で解決されているとのこと。深刻度の評価は、CVSS v3.0の基本値で「7.0」。できるだけ早い対処が望ましい。

　「7-Zip」は、LZMA/LZMA2アルゴリズムで圧縮された7z形式書庫ファイルを扱うためのツール。ZIP/GZIPなどの書庫ファイルの圧縮・解凍も可能で、解凍だけであればARJ/CAB/LZH/RARなどの形式にも幅広く対応する。開発はオープンソースで行われており、コードの大部分は「GNU LGPL」ライセンス。商用を含め、あらゆる環境で無償利用できるのが強みだ。対応OSは64bit版を含むWindows 2000以降で、現在「7-Zip」の公式サイトや窓の杜ライブラリから無償でダウンロードできる。