- コメント
【追記あり】現在のバージョン5.61より以前のバージョンに、ゼロデイ脆弱…
まずまず489件Windows 10現在のバージョン5.61より以前のバージョンに、ゼロデイ脆弱性の存在が発覚されたようです。
バージョンアップされるまでの現状の対応策としては、WinRAR 5.70 Beta 2を利用する様にとの事です。
※下記の記事の掲載時点では、WinRAR 5.70 Beta 1が最新バージョン。
■32bitバージョン
win-rar.com/fileadmin/winrar-versions/wrar57b2.exe
■64bitバージョン
win-rar.com/fileadmin/winrar-versions/winrar-x64-57b2.exe
恐らく、殆どの一般ユーザーのPCにはインストールされていると思いますので、もしインストールされている様でしたら、上記公式サイトよりダウンロード/インストールされる事をお勧めします。
度々の外部からの報告で、開発元も気付いていたにも拘らず、19年も放置してきた責任は大きいと思います。
利用ユーザーが多数存在するにも拘らず、この様な対応をしてきた開発元には呆れました。
幸い、私は以前より別のソフトを利用しているので、今回の騒動と無関係であるが、記事を読んで、ただただ呆れてしまっています。12人が参考になったと回答しています。このレビューは参考になりましたか?
owl483件「ghacks.net」に、脆弱性と対処法についての解説があります。
>セキュリティ研究者によって、5.70 以前のすべてのバージョンに深刻な脆弱性(リモートでコードが実行される)が発見された。ACE 形式で圧縮されたアーカイブからファイルを抽出するために使用するライブラリの欠陥に由来。
・攻撃者は、特別に用意されたアーカイブをユーザーシステムにプッシュすることにより、この脆弱性を悪用できます。とりわけ深刻な事に、攻撃者は Windows のスタートアップフォルダにファイルを抽出することが可能になるので、リモートプログラムはシステムの次回起動時に実行されるようになります。
・研究者は、この悪用を実証するビデオを公開しました。
・WinRAR はファイルの内容を使用して、ファイルの圧縮に使用されたアーカイブ形式を決定します。つまり、ACE ファイルを避けるだけでは対策は不十分(攻撃者は、ACE ファイルの名前を RAR または ZIP に変更することが容易)です。
・問題を引き起こすライブラリは「UNACEV2.DLL」です。 WinRAR のメーカーは、WinRAR 5.70の最新のベータ版から「問題のファイルを削除」しました。そのため、ベータ版にアップグレードすることで脆弱性を解決できます。
>ベータ版を使用したくないユーザーは、該当のファイルを(手動)削除することで脆弱性を解決できます。
https://www.ghacks.net/2019/02/21/winrar-has-a-critical-security-bug-here-is-the-fix/
「ghacks.net」の考察:お気に入りのプログラムは今「Bandizip」です。
https://www.ghacks.net/2014/06/24/bandizip-probably-best-free-file-archiver-right-now/
まずまず489件コメントありがとうございます。
「ghacks.net」の対応で解決出来るものを、どうして19年という長きに亘る時間を放置してきたのか、WinRaR側にも言い分があるのでしょうが、どうしても理解に苦しみます。
数年前より同種のソフトは『Lhaforge』がメインとして利用していますが、こちらは設定画面の【DLLの情報と更新】項目で使用DLLを明示した設計になっているので、非常に親切な設計である為愛用しています。
owl483件2/21 には「ghacks.net」での情報を得ていましたが、
使用アプリではなかったために(当方には無関係なので、週明けに、裏付けなどを確認後にでもレビューをしようかな程度で)スルーしていました。
しかし、まずまず さんの投稿を拝見し、思い直しました。
>使用者への注意喚起
>事の深刻さ(リモートコードが埋め込まれてしまい、踏み台にされる端末化: PC が乗っ取られる危険性)
>公益の観点
を踏まえれば、悠長に構えてはいけない問題なので、積極的に、広報(お知らせ)すべき事案でした。
まずまず さんの当投稿は非常に有意義であり、その実践的で大局的な観点には敬意を表します。