ファイル圧縮・復元ソフト「WinRAR」に、ファイル読み込みに関する脆弱性

ブロードバンドセキュリティ

注目記事

2015.12.18（金）12:13

　IPA（情報処理推進機構）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）は17日、ファイル圧縮・復元ソフト「WinRAR」に脆弱性が存在することを、脆弱性対策情報ポータルサイト「JVN」において公表した。

　今回公表されたのは、「実行ファイル読み込みに関する脆弱性（JVN#64636058）」。WinRARには、エクスプローラーのように、ファイルを指定して実行する機能が存在するが、拡張子がないファイルだった場合、同名の拡張子付きファイルが別にあれば、そちらを実行してしまう。また、レジストリの操作において、表示中のフォルダに「REGEDIT.BAT」などの実行ファイルがあった場合、Windows標準のレジストリエディターではなく、そちらを実行してしまう。

　対象となるバージョンは、WinRAR 5.30 beta 4およびそれ以前。最新版にアップデートすることで、脆弱性は解消される。

《冨岡晶》