昨日、ユーザー@NSA_Employee39が、人気のオープンソースファイル解凍ユーティリティ7-Zipのゼロデイ脆弱性をTwitterに投稿したとされていますが、7-Zipの作者であるIgor Pavlov氏は、これを偽の報告として即座に否定しました。@NSA_Employee39の元のツイートに返信した他のユーザーも、その主張や提示された文章に疑問を呈しており、ChatGPTを介して実行されたのではないかと推測する声も上がっています。
いずれにせよ、7-Zip に疑わしい任意コード実行(ACE)エクスプロイトが侵入したというニュースは瞬く間に広まりました。今後は、この明らかに虚偽のエクスプロイト報告に反論する Igor Pavlov 氏の発言を、私たちのようなメディアや、強い意志を持つ独立系調査員が探し出すしかありません。
皆さん、新しいフォロワーの皆さんへの感謝の気持ちとして、MyBBまで今週ずっと0daysをドロップします。7zipのACE脆弱性はこちらです。https://t.co/FjvDD155Vo(家に帰るまでGitHbにアクセスできません、すみません笑) オフセットは変更が必要になるかもしれません。被害者に応じて若干の修正が必要です…2024年12月30日
イゴール氏は続けて、「しかし、LZMAデコーダにはRC_NORM関数は存在しません。代わりに、7-ZipはLZMAエンコーダとPPMDデコーダにRC_NORMマクロを含んでいます。したがって、LZMAデコードコードはRC_NORMを呼び出しません。そして、エクスプロイトコメントにおけるRC_NORMに関する記述は真実ではありません。」と述べた。
7-Zip はオープンソースであり、この「NSA 職員」とされる人物が Twitter に 0 日の ACE エクスプロイトを無謀に投稿したのではなく、Igor の主張を支持するユーザーしか見つかっていないため、この問題はエンドユーザーが心配する必要のない問題であると思われます。
特にご心配な場合は、ダウンロードする7-Zip対応の見慣れないアーカイブに対してセキュリティスキャンを実行することで、影響を軽減することをお勧めします。説明されている通り、このエクスプロイトを利用するには、7-Zipエクスプロイトが組み込まれた汚染されたアーカイブを開く必要があります。それ以外の点では、最も権威のある意見はすべてこのエクスプロイトが偽物であり、エクスプロイト自体もコメントもAIで作成されたものであり、真のブラックハットハッカーによって書かれたものではないと指摘しているようです。残念です。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
クリストファー・ハーパーは、2015年からPCハードウェアとゲームを専門とするフリーランスのテクニカルライターとして活躍しています。それ以前は、高校時代に様々なB2Bクライアントのゴーストライターを務めていました。仕事以外では、友人やライバルには、様々なeスポーツ(特に格闘ゲームとアリーナシューティングゲーム)の現役プレイヤーとして、またジミ・ヘンドリックスからキラー・マイク、そして『ソニックアドベンチャー2』のサウンドトラックまで、幅広い音楽の愛好家として知られています。
![AMD、Ryzen 9000の発売を品質問題により延期 ― 新製品は8月に発売予定、チップメーカーは品質検査のため全世界出荷分を回収 [更新]](https://image.lorlink.com/didkkcpg/69/e7/GJw8SGyejn2Q2M8z7EnMg7.webp)
