7-Zip for Windows は、結構、多くの方が利用中ではないでしょうか。
次のような不具合があることがわかり、情報公開されました。
任意のコードを実行される可能性があるそうです。
要注意、要注意!
「7-Zip for Windows」のインストーラにおける DLL 読み込みに関する脆弱性 ============================================================================ ■ IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC (一般社団法人JPCERTコーディネーションセンター)は、2016 年 10 月 26 日に 「『7-Zip for Windows』のインストーラにおける DLL 読み込みに関する脆弱性」 を、JVN (Japan Vulnerability Notes)において公表しました。 ◆概要 ・「7-Zip for Windows」は、オープンソースの圧縮・展開ソフトウェアです。 ・「7-Zip for Windows」のインストーラには、DLL を読み込む際の検索パスに問 題があり、意図しない DLL を読み込んでしまう脆弱性が存在します。 ・インストーラを実行している権限で、任意のコードを実行される可能性があり ます。 ・開発者が提供する情報をもとに、最新のインストーラを使用してください。 開発者によると、本脆弱性は「7-Zip for Windows 16.03」で修正済とのことで す。 ◆この脆弱性情報は、2016 年 4 月 12 日に IPA が届出を受け、JPCERT/CC が、 製品開発者と調整を行ない、本日公表したものです。 ◆詳細については、こちらをご覧ください ・「7-Zip for Windows」のインストーラにおける任意の DLL 読み込みに関する脆 弱性 URL:https://jvn.jp/jp/JVN76780067/index.html ※もしくは、https://jvn.jp/jp/ から「JVN#76780067」を参照 ---------------------------------------------------------------------------- 2015 年 12 月 1 日より、共通脆弱性評価システム CVSS v3 による評価を開始 しました。脆弱性対策情報に記載する「CVSS による深刻度」において、CVSS v2 と併記されます。 URL:https://www.ipa.go.jp/security/vuln/SeverityLevel3.html