ニュース

「7-Zip 26.02」で解決された脆弱性は任意コード実行につながるおそれ ~ZDIが公表

オープンソースの解凍・圧縮ソフト

「7-Zip」v26.02

 「7-Zip 26.02」で修正された脆弱性はヒープベースのバッファオーバーフローで、リモートから任意のコードを実行できる可能性があるとのこと。「Zero Day Initiative」(ZDI)が7月15日(米国時間)、セキュリティアドバイザリを公開した。

 アドバイザリによると、本脆弱性のCVE番号は「CVE-2026-14266」。XZ形式の圧縮ファイルを扱う際のチャンク(大きなデータを扱いやすいように小分けしたブロック)データの処理に問題があり、メモリ破損を引き起こす可能性がある。悪意のあるWebページを開かせたり、細工を施したXZファイルを開かせるといったユーザー操作は必要だが、当該ユーザーの権限で任意のコードを実行できる可能性がある。

 深刻度は「CVSS 3.0」の基本値で10点満点中「7.0」(High)と評価されている。

 この脆弱性は6月5日にベンダーへ報告され、6月25日リリースの「7-Zip 26.02」で修正。開発者と「ZDI」が協調したうえで、7月15日にアドバイザリ公開へと至ったという。

 「7-Zip」は、LZMA/LZMA2アルゴリズムで圧縮された7z形式書庫ファイルを扱うためのツール。ZIP/GZIPなどの書庫ファイルの圧縮・解凍も可能で、解凍だけであればARJ/CAB/LZH/RARなどの形式にも幅広く対応する。開発はオープンソースで行われており、コードの大部分は「GNU LGPL」ライセンス。商用を含め、あらゆる環境で無償利用できるのが強みだ。

 Windows版の対応OSは、Windows 2000/Server 2003以降(64bit版を含む)。現在、「7-Zip」の公式サイトや窓の杜ライブラリからダウンロードできる。

ソフトウェア情報

「7-Zip」Windows版
【著作権者】
Igor Pavlov 氏
【対応OS】
64bit版を含むWindows 2000/XP/Vista/7/8/10/11およびWindows Server 2003/2008/2012/2016/2019/2022
【ソフト種別】
フリーソフト
【バージョン】
26.02(26/06/25)