解凍・圧縮ソフト「7-Zip」にヒープバッファーオーバーフローの脆弱性、GitHubが報告

GitHub Security Labのアナウンス

　米GitHubのセキュリティチーム「GitHub Security Lab」（GHSL）は7月17日（現地時間）、解凍・圧縮ソフト「7-Zip」でヒープバッファーオーバーフローの脆弱性（CVE-2025-53816）を発見したことを明らかにした。「RAR5」書庫ファイルの処理に問題があり、メモリ破壊やサービス拒否につながる可能性があるという。

　本脆弱性は、「7-Zip 24.09」の「RAR5」のデコーダーで発見された。このデコーダーは破損したアイテムをゼロで埋めて修正しようと試みるが、上書きするバイト数を外部から制御できるため、確保されたバッファを越えてゼロが書き込めてしまう。任意のコード実行につながる可能性は低いが、メモリを破壊してアプリを応答不能に陥らせることができる（サービス拒否）。

　この問題は4月下旬に開発チームへ報告され、7月リリースの「7-Zip 25.00」で解決されているとのこと。まだ古いバージョンを利用している場合は、早めにアップデートを済ませておきたい。

「7-Zip」v25.00

　「7-Zip」は、LZMA/LZMA2アルゴリズムで圧縮された7z形式書庫ファイルを扱うためのツール。ZIP/GZIPなどの書庫ファイルの圧縮・解凍も可能で、解凍だけであればARJ/CAB/LZH/RARなどの形式にも幅広く対応する。開発はオープンソースで行われており、コードの大部分は「GNU LGPL」ライセンス。商用を含め、あらゆる環境で無償利用できるのが強みだ。

　対応OSは64bit版を含むWindows 2000以降で、現在「7-Zip」の公式サイトや窓の杜ライブラリから無償でダウンロードできる。