人気の圧縮解凍ツール「7-Zip」に、WindowsのMark of the Web(MotW)セキュリティ機能を回避することができるセキュリティ脆弱性が存在することがわかりました。
MotWセキュリティ機能は、インターネットからダウンロードされたファイルに特別なマークをつけ、ファイルを開く際に警告を表示し、ユーザーに注意を促すというものです。ユーザーが危険なファイルを開くことを防ぎ、コンピューターウィルスへの感染や、情報漏洩などのリスクを軽減する役割を果たしています。
7-Zipの脆弱性CVE-2025-0411は、ダウンロードしたアーカイブから抽出されたすべてのファイルにMotWフラグを自動的に追加する機能を持っているにもかかわらず、特定の条件下でこのフラグが適用されないことに起因します。
This vulnerability allows remote attackers to bypass the Mark-of-the-Web protection mechanism on affected installations of 7-Zip. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file.
この脆弱性により、リモートの攻撃者は影響を受ける 7-Zip のインストールにおける Mark-of-the-Web 保護機構をバイパスすることができます。この脆弱性を悪用するには、ターゲットが悪意のあるページにアクセスしたり、悪意のあるファイルを開いたりする必要があるため、ユーザの操作が必要となります。
The specific flaw exists within the handling of archived files. When extracting files from a crafted archive that bears the Mark-of-the-Web, 7-Zip does not propagate the Mark-of-the-Web to the extracted files. An attacker can leverage this vulnerability to execute arbitrary code in the context of the current user.
特定の欠陥は、アーカイブされたファイルの処理に存在します。Mark-of-the-Web を持つ細工されたアーカイブからファイルを抽出する際、 7-Zip は抽出されたファイルに Mark-of-the-Web を伝播しません。攻撃者はこの脆弱性を利用して、現在のユーザのコンテキストで任意のコードを実行することができます。
7-Zipの開発者であるIgor Pavlov氏は、2024年11月30日にリリースされたv24.09でこの脆弱性を修正していますが、7-Zipには自動更新機能がないため、多くのユーザーが依然として脆弱なバージョンを使用している可能性があります。
Windowsで7-Zipを使用している場合、すみやかに最新版にアップデートすることが推奨されます。
[via BetaNews]
![]() |
タイトル | 7-Zip |
---|---|---|
公式サイト | http://www.7-zip.org/ | |
ソフトアンテナ | https://softantenna.com/softwares/1357-7-zip | |
説明 | 高圧縮率を誇る7z形式をサポートしたアーカイバ。 |