老舗圧縮解凍ソフト「WinRAR」でファイルを開くだけで任意コード実行を可能にする脆弱性が発見される、すでに修正版が配布済み

Windows用のファイル圧縮・解凍ソフトであるWinRARで、RARファイルを開くだけでコンピューター上で任意のコードを実行できる脆弱(ぜいじゃく)性「CVE-2023-40477」が発見されたと報告されています。すでにこの脆弱性を修正したバージョン6.23がリリースされており、ユーザーは可及的速やかにアップデートすることが推奨されています。

ZDI-23-1152 | Zero Day Initiative
https://www.zerodayinitiative.com/advisories/ZDI-23-1152/

WinRAR Latest News: WinRAR 6.23 final released
https://www.win-rar.com/singlenewsview.html

WinRAR flaw lets hackers run programs when you open RAR archives
https://www.bleepingcomputer.com/news/security/winrar-flaw-lets-hackers-run-programs-when-you-open-rar-archives/

WinRARは1995年にリリースされたWindows向けのシェアウェアで、RAR形式やZIP形式の圧縮・解凍のほか、LZH形式や7-Zip形式などの解凍も可能なアーカイバーです。

今回発見されたCVE-2023-40477は、ゼロデイ脆弱性を非公開で報告するためのセキュリティ研究組織・Zero Day Initiativeのメンバーであるgoodbyeselene氏によって発見され、2023年6月8日にWinRARのベンダーであるRARLABに報告されました。

Zero Day Initiativeによると、CVE-2023-40477の原因となるバグは回復ボリュームの処理に存在するとのこと。ユーザーが指定したデータが適切に検証されていないことが原因で発生し、割り当てられたバッファの終わりを超えてメモリアクセスする「バッファオーバーフロー」を可能にします。攻撃者はこの脆弱性を利用して、悪意のあるページあるいは悪意のあるファイルをWinRARでユーザーにアクセスさせることで、任意のコードを実行できてしまいます。

WinRARのベンダーであるRARLABは、2023年8月2日付けでこのCVE-2023-40477を修正したバージョン6.23をリリースしています。このバージョン6.23ではCVE-2023-40477の修正以外に、特殊に作成された圧縮ファイル内のアイテムをクリックするとWinRARが間違ったファイルを実行してしまうバグも修正されているとのこと。

WinRARで任意コード実行の脆弱性が発見されるのは今回が初めてではなく、2019年には使用しているライブラリの更新が途絶えてしまったことが原因となって、悪意のあるファイルを実行できる脆弱性が発見されています。この時は原因となるライブラリが削除され、ACE形式への対応が取りやめられました。

老舗の圧縮解凍ソフト「WinRAR」に19年以上前から存在する脆弱性が発覚 - GIGAZINE

なお、セキュリティ問題に詳しいニュースサイト・Bleeping Computerは「MicrosoftはWindows 11でRAR形式・7-Zip形式・GZIP形式のネイティブサポートをテスト中であり、高度な機能が必要でない限り、WinRARなどのサードパーティソフトウェアは必要ありません」と述べています。

RAR圧縮形式が誕生から30年を経てWindowsでネイティブサポートされることに、7z・tar・gzも追加 - GIGAZINE