2022年4月20日午前7時50分(太平洋時間)更新:7zipのCVE-2022-29072脆弱性は、公式リストで「異議あり」とマークされ、「複数の第三者から権限昇格は発生しないと報告されています」とされています。この異議について私たちに知らせてくれたGoogle Project Zeroの脆弱性研究者、Tavis Ormandy氏によると、このエクスプロイトはレジストリの編集、あるいは他の操作(別のローカル管理者アカウントの追加など)によってのみ発生する可能性があるとのことです。しかし、説明だけでは攻撃手法を特定できません。異議申し立てが認められた場合は、引き続き最新情報をお知らせします。
元記事:
人気のアーカイブプログラムである7-Zipに脆弱性が発見されました。これはアクティブなゼロデイ脆弱性であり、権限昇格とコマンド実行を許す可能性があります。つまり、コンピュータへのアクセスが制限されている人物が、より上位レベルの制御(通常は管理者権限)を取得し、コマンドやアプリを実行できるようになるということです。GitHubユーザーのKagancapar氏がこの7-ZipのWindows脆弱性を発見したようで、CVE-2022-29072が参照されています。
7-Zipはクロスプラットフォームアプリケーションですが、この脆弱性はWindowsに関連しており、Windowsヘルプアプリケーションhh.exeとの連携に依存しています。例えば、CVE-2022029072のGitHub Readmeファイルには、「Windowsでは、.7z拡張子のファイルを[ヘルプ]>[コンテンツ]領域にドラッグすると、権限昇格とコマンド実行が許可される可能性がある」と記載されています。
上の動画では、脆弱性発見者が7-zipのファイル拡張子を模倣した.7z拡張子の特別に細工されたファイルを7-zipのヘルプウィンドウにドロップし、管理者モードでコマンドを実行している様子が映っています。これは、システムへの高レベルのアクセス権を取得し、通常はアクセスできないコマンドやアプリを実行するための、非常に簡単な方法のように見えます。
Kagancapar氏は、この脆弱性とその発見に関する啓発的な背景情報を提供しました。まず、この脆弱性はMicrosoftのヘルプシステムに依存しているように見えるため、7-Zipが責任を負いたくないと述べています。しかし、カスタムの.7z拡張子ファイルをヘルプウィンドウに配置すると、7zFM.exeでヒープオーバーフローが発生し、結果として権限が昇格されるため、7-Zipの作者も責任の一端を負うべきでしょう。
本稿執筆時点では、Windows版7-Zipの最新バージョン(v21.07)には、動画で紹介されている脆弱性に対する修正パッチは適用されていません。ご自身のパソコンや管理しているシステムにおいて、この脆弱性が懸念される場合は、以下の2つの簡単な方法で問題を軽減できますので、ご安心ください。
- 最初の方法: 7-zip が更新されない場合は、7-zip.chm ファイルを削除するだけで脆弱性を解消できます。
- 2番目の方法:7-Zipプログラムには読み取りと実行の権限のみが必要です。(全ユーザー対象)
7-Zipは、2000年代にWinZipとWinRARという、ケチで罪悪感を抱かせるシェアウェアの定番圧縮ソフトの覇権を奪いました。数年間の改良を経て、2013年には圧縮速度、圧縮率、そしてファイルサイズにおいてTom's Hardware Elite Awardを受賞しました。個人利用でもビジネス利用でも完全に無料で利用できるだけでなく、7-Zipはクロスプラットフォーム性とポータビリティも魅力です。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
マーク・タイソンはトムズ・ハードウェアのニュース編集者です。ビジネスや半導体設計から、理性の限界に迫る製品まで、PCテクノロジーのあらゆる分野を網羅的にカバーすることに情熱を注いでいます。
