「Libarchive」ライブラリに脆弱性、7-Zipなどプログラム多数に影響

「脆弱性の影響は多くのサードパーティープログラムに及び、攻撃者が一度に多数の異なるプログラムやシステムを攻撃することが可能」とされる。

» 2016年06月23日 07時38分 公開
[鈴木聖子ITmedia]

 米Cisco Systemsのセキュリティ部門Talosは6月21日、幅広いサードパーティープログラムに使われているオープンソースライブラリ「Libarchive」の脆弱性を発見し、メンテナンスチームによるパッチ開発に協力したと発表した。

 Libarchiveは、Zipやtarなどさまざまなファイル圧縮フォーマットに対応したライブラリ。FreeBSD向けに開発され、各種LinuxのパッケージマネージャーやChrome OSの拡張機能などさまざまな場面で使われている。

脆弱性を指摘したTalos

 Talosによれば、同ライブラリに3件の深刻な脆弱性が発見され、修正された。中でもLibarchiveで圧縮・解凍ソフトの「7-Zip」をサポートするモジュールの脆弱性は、細工を施した7-Zipファイルを送り付けてlibarchiveで処理させることによってメモリ破損が誘発され、攻撃コードを実行される恐れがあるという。

7-Zip

 「こうしたライブラリの脆弱性の根本原因は、圧縮されたファイルから読み込むデータの不適切な検証に起因する」とTalosは解説。「Libarchiveのようなソフトウェアの脆弱性は、それを使っている多くのサードパーティープログラムに影響を及ぼし、攻撃者が一度に多数の異なるプログラムやシステムを攻撃することが可能になる」と警告している。

Copyright © ITmedia, Inc. All Rights Reserved.