WinZipのセキュリティ欠陥に修正パッチ

Ingrid Marson (ZDNet UK)2004年09月07日 09時56分
  • このエントリーをはてなブックマークに追加

 WinZip Computingは先月、同社の圧縮/伸張ツール「WinZip」にセキュリティ上の欠陥があると警告を発していた。セキュリティベンダーのSecuniaではこの欠陥を、同社による5段階の深刻度評価で2番目に高い「極めて深刻(Highly Critical)」に分類している。

 WinZipの3.x、6.x、7.x、8.x、および9.xの各バージョンには、攻撃者が別のマシンから悪質なコードを実行することを許してしまう脆弱性がある。この問題は、WinZipがコマンドラインの入力を処理する方法に欠陥があるために発生するもので、悪質なハッカーがこれを悪用してバッファオーバーフローを引き起こす可能性がある。

 WinZip Computingは、WinZip 9.0 Service Release 1というパッチをリリースしたが、同社ではこれでバッファオーバーフローの問題が解決するとしている。

 このパッチではさらに、いくつかの状況に対応する警告メッセージも追加されている。たとえば、ユーザーがZipファイル内で圧縮された.EXEファイルをダブルクリックすると、WinZipがこの圧縮ファイルにウイルスが含まれている可能性があることを警告するようになった。

 同社はすべてのユーザーに対し、修正のためにバージョン9.0へアップグレードするよう自社ウェブサイトで推奨している。ユーザーは、同パッチの評価版をダウンロードできるが、21日経過後は29ドルのWinZipライセンス料を支払う必要がある。

 このパッチをリリースした時点では、この脆弱性がネットで悪用された例は確認していない、と同社は話している。

 このニュースのわずか数週間前には、Windows用のメディアアプリケーションであるWinampの欠陥が、コンピュータへのスパイウェア感染に悪用されているとの警告があったばかりだった。Secuniaが最初の勧告を出した時点では、この問題を修正するパッチが公開されておらず、同社はユーザーに別製品への切替を勧告していた。

 現在、この欠陥にはパッチが出されており、Secuniaが米国時間6日に出した最新の勧告ではWinamp 5.05へのアップグレードが推奨されている。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加