ニュース

圧縮・解凍ソフト「WinRAR」に脆弱性、意図しないファイルが実行される恐れ

v5.30 beta 5以降で修正済み

 脆弱性対策情報ポータルサイト“JVN”は17日、RAR形式の圧縮に対応する圧縮・解凍ソフト「WinRAR」に脆弱性が存在することを明らかにした。

 “JVN”の脆弱性レポートによると、64bit版を含む「WinRAR」v5.30 beta 4およびそれ以前のバージョンには、実行ファイル読み込みに関する脆弱性(CVE-2015-5663)が存在するという。

 たとえば、「WinRAR」にはユーザーが指定したローカルファイルを実行する機能が存在するが、指定したファイルに拡張子がない場合、同一フォルダーにある同名の拡張子付きファイルを実行してしまう恐れがある。

 また、「WinRAR」はレジストリへ設定を保存したり、レジストリから設定を復元する機能を備えているが、画面で表示しているフォルダーに“REGEDIT.BAT”などの実行ファイルが存在する場合にその機能を利用すると、OS標準の「レジストリ エディター」(regedit.exe)ではなく、“REGEDIT.BAT”が実行されてしまう。

 なお、JPCERT/CCによる本脆弱性の評価は、“CVSS v3”で基本値“7.8(危険)”、“CVSS v2”で基本値“5.1(警告)”で、v5.30 beta 5ですでに修正されているとのこと。11月24日に公開された最新正式版v5.30を利用していれば問題ないが、このバージョンは日本語公式サイトでは公開されておらず、英語の公式サイトから入手する必要があるので注意したい。

(樽井 秀人)