解凍・圧縮ソフト「7-Zip」に、リモートコード実行の脆弱性が発見されました。これは6月19日にリリースされた「7-Zip 24.07」以降に影響があるため、すぐにアップデートが必要です。

この脆弱性は「Zstandard」に基づく解凍（展開）処理の実装に起因します。ユーザーが提供されるデータを適切に検証せず、細工されたデータがメモリに書き込まれる可能性があります。そのため、任意のコードを現在のプロセスコンテキストで実行できるリスクがあります。

問題はTrend Microのセキュリティ部門から6月12日に発表され、最終的な修正が行われました。攻撃者の調整の上に、11月20日にセキュリティアップデートが公開される予定です。脆弱性の深刻度はCVSSの基本値で「7.8」と評価されていますので、速やかな対策が求められます。

「7-Zip」はLZMA/LZMA2アルゴリズムを使用し、多くの形式のアーカイブファイルを扱うツールです。ZIPやGZIPなどの圧縮形式の他にも、ARJやCAB、LZH、RARなどの形式にも対応しています。開発はオープンソースで行われており、その大部分は「GNU LGPL」ライセンスに基づいています。商用版も含め、誰でも無償で利用できます。対応OSは64bit版を含むWindows 2000以降です。

最新の安定版は2023年8月11日にリリースされた「7-Zip 24.08」です。セキュリティ上の理由からも、この最新バージョンの使用が推奨されています。皆さんも、すぐにアップデートを行い、セキュリティを強化しましょう！