老舗の解凍ツール「解凍レンジ」に任意コード実行の脆弱性 ~JVNが利用中止を呼びかけ
開発者とは連絡がとれず
樽井 秀人2024年3月26日 08:45
脆弱性ポータルサイト「JVN」は3月25日、「解凍レンジ」に脆弱性(CVE-2024-28131)が存在することを公表した。展開したファイルを「エクスプローラー」で表示する際の検索パスに問題があり、展開したファイルと同じフォルダーに存在する実行ファイルを誤って読み込んでしまう可能性がある。最悪の場合、プログラムを実行している権限で任意のコードを実行できてしまう。
「解凍レンジ」は、シンプルな操作性が売りの解凍専用ソフト。デスクトップに配置したショートカットファイルへドラッグ&ドロップするだけで書庫ファイルを展開することができる。1999年のv1.0リリース当初は、サードパーティーの解凍DLLを必要とせず、アプリ本体のみでLHA/ZIP/CABの3種類に対応しているのも魅力だった。執筆時現在の最新版は、2002年6月公開のv1.41。
https://forest.watch.impress.co.jp/docs/news/1578919.html
