老舗の圧縮・解凍ツール「WinZip」にリモートコード実行の脆弱性

「WinZip 29.0」

　Trend Microのセキュリティ部門Zero Day Initiative（ZDI）は1月20日（現地時間）、圧縮・解凍ツール「WinZip」にリモートコード実行の脆弱性（CVE-2025-1240）があることを明らかにした。

　「WinZip」は、老舗のファイル圧縮・暗号化ソフト。ZIP、ZIPX、RAR、7Z、TAR、GZIP、VHD、XZ、POSIX TARのほか、一般的な圧縮形式のファイルに対応しており、SFTPを用いたファイル転送、PDFファイルの管理、ファイルの暗号化・共有などの機能も備える。対応OSはWindows 10/11で、価格はエントリー版「WinZip Standard」で年額5,280円。無償で21日間の試用が可能だ。

　ZDIによると、「WinZip」の旧バージョンには7Zファイルの解析処理に問題があり、ユーザーデータを適切に検証しない。そのため、割り当てられたバッファーの終端を超えてデータを書き込めてしまう可能性がある。細工を施した7Zファイルをユーザーに開かせるなどの手法をとれば、当該プロセスのコンテキストでリモートから任意のコードを実行できる。深刻度の評価は、「CVSS 3.0」の基本値で「7.8」。

　この問題は、最新の「WinZip 29.0」で修正されているとのこと。利用中の場合はアップデートを怠らないようにしたい。