7-Zipに深刻な脆弱性が見つかった。これを悪用すると、Windowsのセキュリティ機能「MoTW」(Mark-of-the-Web)を回避し、被害者のユーザーコンテキスト内で任意のコードを実行できるという。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Zero Day Initiativeは2025年1月19日(現地時間)、人気のファイルアーカイバーである「7-Zip」に深刻な脆弱(ぜいじゃく)性が見つかったと報告した。この脆弱性を悪用すると、「Windows」のセキュリティ機能「MoTW」(Mark-of-the-Web)を無効にし、悪意のあるファイルが警告なく開かれる可能性がある。
MoTWは、インターネットなどの外部ソースからダウンロードされたファイルに付与されるセキュリティ属性だ。WindowsではMotWが付与されたファイルを開く際にセキュリティ警告を表示し、潜在的なリスクからユーザーを保護する仕組みが提供されている。
今回の脆弱性を悪用し、細工されたアーカイブを7-Zipで展開すると本来継承されるべきMotWが抽出ファイルに適用されず、警告が回避される。これによって攻撃者は被害者のユーザーコンテキスト内で任意のコードを実行できるという。
この脆弱性は「CVE-2025-0411」として識別され、共通脆弱性評価システム(CVSS)のスコア値で7.0、深刻度「高」(High)と評価されている。
脆弱性の影響を受けるバージョンは以下の通りだ。
脆弱性が修正されたバージョンは以下の通りだ。
同脆弱性は2024年10月1日に開発元に報告され、既に修正したバージョンが公開されている。該当製品を使用している場合、迅速にアップデートを適用することが推奨される。
Copyright © ITmedia, Inc. All Rights Reserved.