解凍・圧縮ツール「7-Zip」にリモートコード実行の脆弱性が発見され、ユーザーは早急にアップデートが必要です。深刻度はCVSSで「7.8」と評価されています。
この脆弱性は、6月19日にリリースされた「7-Zip 24.07」以降のバージョンに影響を及ぼします。
具体的には、「Zstandard」における解凍処理の実装に起因し、ユーザーから提供されるデータを適切に検証していないため、細工を施したデータによって整数アンダーフローが発生し、任意のコードを実行できる可能性があります。
この問題はTrend Microのセキュリティ部門から6月12日に報告され、迅速に修正が行われました。
11月20日にはセキュリティアドバイザリが公開され、深刻度はCVSSの基本値で「7.8」と評価されています。
これにより、ユーザーはできるだけ早く対処を行うことが強く推奨されています。
「7-Zip」はLZMA/LZMA2アルゴリズムを使用して圧縮された7z形式書庫ファイルを扱うツールであり、ZIPやGZIPなどの一般的な書庫ファイルの圧縮・解凍も可能です。
また、解凍だけであればARJやCAB、LZH、RARなど多様な形式にも対応しています。
開発はオープンソースで行われており、大部分のコードは「GNU LGPL」ライセンスのもとにあります。
このため、商用利用を含め、あらゆる環境で無償利用できるのが大きな魅力です。
対応OSは64bit版を含むWindows 2000以降であり、現在「7-Zip」は公式サイトや窓の杜ライブラリから無償でダウンロード可能です。
執筆時点での最新版は8月11日にリリースされた「7-Zip 24.08」です。
参考リンクhttps://news.yahoo.co.jp/articles/ac4595db439911c37b916c8d9b5b13292be05764