CVE-2024-11477: 7-Zip Vulnerability Allows Remote Code Execution, Update Now!
2024/11/24 SecurityOnline — 人気のファイル・アーカイバ 7-Zip に、深刻な脆弱性 CVE-2024-11477 (CVSS:7.8 ) が発見された。この脆弱性を悪用する攻撃者は、脆弱性のあるシステム上で悪意のコード実行の可能性を手にするという。この脆弱性は、プログラムの Zstandard 圧縮解凍機能に存在するものであり、Trend Micro のセキュリティ研究者である Nicholas Zubrisky により発見された。その内容は、ユーザーが提供したデータへの不十分な検証により、整数アンダーフローが発生し、影響を受けるプロセス内で、攻撃者は任意のコード実行を許されるというものだ。
攻撃者がユーザーを騙して、特別に細工したアーカイ・ブファイルを開かせることで、この脆弱性の悪用がトリガーされる。悪用が成功した場合には、データ盗難からシステム全体の侵害に至るまでの、さまざまな被害が発生する恐れがある。
ZDI のセキュリティ勧告には、「この脆弱性を悪用するには、ライブラリとのインタラクションが必要である。ただし、それぞれの実装に応じて、攻撃方法は異なるものになるだろう」と記載されている。
ユーザーに対して強く推奨されるのは、7-Zip バージョン 24.07 以降へと、ただちにアップデートすることである。この最新リリースでは、この脆弱性の原因である、整数アンダーフローの欠陥が修正されている。
長期間にわたって利用されてきたソフトウェアには、攻撃者に悪用される脆弱性が含まれることが多い。ソフトウェアを定期的にアップデートすることは、強固なセキュリティ体制を維持し、サイバー脅威から保護するための重要なステップである。
7-Zip の脆弱性が FIX しました。ご利用のチームは、ご注意ください。一昨日の 2024/11/22 には、「WinZip の脆弱性 CVE-2024-8811 が FIX:Windows の MoTW を無効化」という記事がポストされています。悪意を潜ませた圧縮ファイルを配布することで、この種の解凍ソフトの脆弱性が狙われるわけです。したがって、悪意のファイルを開かせるところまで、ユーザーを欺ければ、その瞬間に侵害が成立します。お気をつけください。よろしければ、7-Zip で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.