7-Zip for Windows は、結構、多くの方が利用中ではないでしょうか。
次のような不具合があることがわかり、情報公開されました。
任意のコードを実行される可能性があるそうです。
要注意、要注意!
「7-Zip for Windows」のインストーラにおける DLL 読み込みに関する脆弱性
============================================================================
■ IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC
(一般社団法人JPCERTコーディネーションセンター)は、2016 年 10 月 26 日に
「『7-Zip for Windows』のインストーラにおける DLL 読み込みに関する脆弱性」
を、JVN (Japan Vulnerability Notes)において公表しました。
◆概要
・「7-Zip for Windows」は、オープンソースの圧縮・展開ソフトウェアです。
・「7-Zip for Windows」のインストーラには、DLL を読み込む際の検索パスに問
題があり、意図しない DLL を読み込んでしまう脆弱性が存在します。
・インストーラを実行している権限で、任意のコードを実行される可能性があり
ます。
・開発者が提供する情報をもとに、最新のインストーラを使用してください。
開発者によると、本脆弱性は「7-Zip for Windows 16.03」で修正済とのことで
す。
◆この脆弱性情報は、2016 年 4 月 12 日に IPA が届出を受け、JPCERT/CC が、
製品開発者と調整を行ない、本日公表したものです。
◆詳細については、こちらをご覧ください
・「7-Zip for Windows」のインストーラにおける任意の DLL 読み込みに関する脆
弱性
URL:https://jvn.jp/jp/JVN76780067/index.html
※もしくは、https://jvn.jp/jp/ から「JVN#76780067」を参照
----------------------------------------------------------------------------
2015 年 12 月 1 日より、共通脆弱性評価システム CVSS v3 による評価を開始
しました。脆弱性対策情報に記載する「CVSS による深刻度」において、CVSS v2
と併記されます。
URL:https://www.ipa.go.jp/security/vuln/SeverityLevel3.html