2件の脆弱性を修正した「WinRAR 7.12」「RAR 7.12」がリリース

「WinRAR」（スクリーンショットはv7.10のもの）

　独win.rarは6月25日（現地時間）、「WinRAR 7.12」「RAR 7.12」を正式公開した。日本語版はまだ公開されていないが、まもなくリリースされるものと思われる。

　本バージョンでは、2件の脆弱性が修正された。

　1つ目は、細工されたアーカイブからファイルを抽出する際、ユーザーが指定したパスではなくアーカイブで定義されたパスを利用するように騙せてしまうというもの。旧バージョンの「WinRAR」やWindows版「RAR」、「UnRAR」、「UnRAR.dll」などに影響する。Unix版やAndroid版では問題ないようだ。

　2つ目は、「レポートの生成」コマンドでアーカイブされたファイル名がそのままHTMLレポートに含まれていたというもの。悪意あるHTMLタグをレポートに注入できてしまう可能性があった。この問題はサニタイズ処理を加えることで解決されている。

　そのほかにも、リカバリボリュームの作成処理を改善。WindowsでRARアーカイブを変更する際に、Unixファイルレコードのファイル時間精度がWindowsの100ナノ秒精度に変換される仕様も変更されており、精度がナノ秒に保たれるようになった。

　「WinRAR」は、RAR形式に対応する定番のファイル圧縮・解凍ツール。64bit版のWindows 7以降に対応するシェアウェアで、価格は税込み5,104円。40日間の試用が可能だ。窓の杜ライブラリからもダウンロードできる。