人気のファイルアーカイバー「7-Zip」に任意コード実行の脆弱性 直ちに更新を：セキュリティニュースアラート

7-Zipに脆弱性「CVE-2024-11477」が発表された。この脆弱性はリモートからの任意のコード実行を可能にするため、ユーザーは迅速なアップデートが推奨されている。

[後藤大地，有限会社オングス]

　Zero Day Initiativeは2024年11月20日（現地時間）、人気のファイルアーカイバーである「7-Zip」に深刻な脆弱（ぜいじゃく）性が存在することを報告した。この脆弱性が悪用された場合、リモートの攻撃者が7-Zipで任意のコードを実行できる恐れがある。

　7-Zipは高い圧縮率と幅広いファイル形式への対応で知られる無償のファイルアーカイバーだ。オープンソースソフトウェア（OSS）であり、独自形式の7zをはじめ、ZIPやRAR、TAR、GZIPなどさまざまなファイル形式をサポートしている。シンプルなユーザーインタフェースとコマンドライン操作が可能で個人利用から業務用途まで広く利用されている。

人気のファイルアーカイバー「7-Zip」に任意コード実行の脆弱性

　この脆弱性は「CVE-2024-11477」として特定されている。CVE-2024-11477はOSSの圧縮アルゴリズム「Zstandard」解凍の実装に存在する欠陥とされ、ユーザーから受け取ったデータの検証不足によってメモリへの書き込み前に整数アンダーフローが発生する可能性がある。

　攻撃者はこの問題を利用してプロセス内で任意のコードを実行できるとされている。Zero Day Initiativeの公式評価ではCVE-2024-11477の共通脆弱性評価システム（CVSS）のスコア値7.8で深刻度「重要」（High）に分析されている。

　この脆弱性を発見したのはTrend Micro Security Researchのセキュリティ研究者であるニコラス・ズブリスキー氏で、Zero Day Initiativeのセキュリティ勧告によるとこの脆弱性を悪用するにはライブラリーとのやりとりが必要とされている。また攻撃ベクトルは実装によって異なる場合があるとしている。

　脆弱性の影響を受けるバージョンは以下の通りだ。

• 7-Zip 24.07より前のバージョン

　脆弱性が修正されたバージョンは以下の通りだ。

• 7-Zip 24.07およびこれ以降のバージョン

　CVE-2024-11477に対して既に修正したバージョンが公開されていることから、該当プロダクトを使用している場合、迅速にアップデートを適用することが推奨される。