ニュース

「WinRAR 7.23」が公開 ~ヒープオーバーフローなど2件の脆弱性に対処

7zファイルの展開モジュールは「7-Zip 26.02」相当に

「WinRAR 7.23」がリリース

 独win.rarは6月30日(現地時間)、「WinRAR 7.23」を正式公開した。以下の2件の脆弱性への対処を中心としたセキュリティリリースとなっており、できるだけ早い更新が望ましい。

  • RAR5形式の回復(リカバリー)ボリュームのデータ再構築コードにおけるヒープオーバーフロー。「WinRAR」「RAR」「UnRAR」が影響を受ける。「UnRAR.dll」ライブラリは回復ボリュームの処理を含まないため、影響はない
  • シンボリックリンク処理の不備に起因するパストラバーサル(ディレクトリトラバーサル)。細工されたRAR書庫を「WinRAR」「RAR」「UnRAR」「UnRAR.dll」で展開する際、[-ola]コマンドラインスイッチを指定していなくても、展開先フォルダーの外を指すシンボリックリンクが作成されるおそれがあった

 そのほかにも、7z書庫ファイルの展開に用いられるライブラリ「7zxa.dll」がアップデートされ、「7-Zip 26.02」の不具合・脆弱性の修正が取り込まれた。また、コマンドラインスイッチ[-iver]が[-idc]指定時でもRARのバージョンを表示するようになるなど、細かな改善も行われている。

 「WinRAR」は、RAR形式に対応する定番のファイル圧縮・解凍ツール。64bit版のWindows 7以降に対応するシェアウェアで、価格は29米ドル。40日間の試用が可能で、窓の杜ライブラリからもダウンロードできる。

ソフトウェア情報

「WinRAR」英語版
【著作権者】
Alexander Roshal
【対応OS】
64bit版を含むWindows 7/8/8.1/10/11
【ソフト種別】
シェアウェア 29米ドル(40日間試用可能)
【バージョン】
7.23(26/06/30)