WinZipのセキュリティ欠陥に修正パッチ

Ingrid Marson (ZDNet UK)2004年09月07日 09時56分

 WinZip Computingは先月、同社の圧縮/伸張ツール「WinZip」にセキュリティ上の欠陥があると警告を発していた。セキュリティベンダーのSecuniaではこの欠陥を、同社による5段階の深刻度評価で2番目に高い「極めて深刻(Highly Critical)」に分類している。

 WinZipの3.x、6.x、7.x、8.x、および9.xの各バージョンには、攻撃者が別のマシンから悪質なコードを実行することを許してしまう脆弱性がある。この問題は、WinZipがコマンドラインの入力を処理する方法に欠陥があるために発生するもので、悪質なハッカーがこれを悪用してバッファオーバーフローを引き起こす可能性がある。

 WinZip Computingは、WinZip 9.0 Service Release 1というパッチをリリースしたが、同社ではこれでバッファオーバーフローの問題が解決するとしている。

 このパッチではさらに、いくつかの状況に対応する警告メッセージも追加されている。たとえば、ユーザーがZipファイル内で圧縮された.EXEファイルをダブルクリックすると、WinZipがこの圧縮ファイルにウイルスが含まれている可能性があることを警告するようになった。

 同社はすべてのユーザーに対し、修正のためにバージョン9.0へアップグレードするよう自社ウェブサイトで推奨している。ユーザーは、同パッチの評価版をダウンロードできるが、21日経過後は29ドルのWinZipライセンス料を支払う必要がある。

 このパッチをリリースした時点では、この脆弱性がネットで悪用された例は確認していない、と同社は話している。

 このニュースのわずか数週間前には、Windows用のメディアアプリケーションであるWinampの欠陥が、コンピュータへのスパイウェア感染に悪用されているとの警告があったばかりだった。Secuniaが最初の勧告を出した時点では、この問題を修正するパッチが公開されておらず、同社はユーザーに別製品への切替を勧告していた。

 現在、この欠陥にはパッチが出されており、Secuniaが米国時間6日に出した最新の勧告ではWinamp 5.05へのアップグレードが推奨されている。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]