- コメント
【追記あり】「公式サイト」WinRAR リリースノートには、 http…
owl483件Windows 10「公式サイト」WinRAR リリースノートには、
http://www.winrarjapan.com/support/release-note
『WinRAR 自己解凍書庫の致命的な脆弱性問題は、当社には瑕疵はなく、Windows OLE の脆弱性に由来するもので、WinRAR の自己解凍書庫に新たなリスク要素を生むことはありません。詳しくは、 //rarlab.com/vuln_sfx_html2.htm をお読みください。WinRAR 側でこの問題に対して修正を行う必要はありません。』との公式見解が明示されています。
一方、窓の杜では『19年前から存在する脆弱性であるという』
https://forest.watch.impress.co.jp/docs/news/1170860.html
どうやら「セキュリティ研究者や研究機関などの指摘やメスメディアの報道(2015年9月と10月)などで、度々と問題提起を受けながらも責任転嫁し、放置したままだった」が真相のようです。
「ghacks.net」に脆弱性と対処法についての解説がありますが、
//www.ghacks.net/2019/02/21/winrar-has-a-critical-security-bug-here-is-the-fix/
しかしながら、結語で、ghacks.net は『お気に入りのプログラムは今「Bandizip」です』と締め括っています。
私見:ダメ押しですが、
一連の経緯は、事の深刻さ(リモートコードが埋め込まれてしまい、「踏み台」にされる端末化: PC が乗っ取られる危険性)に対して、あまりにも無責任すぎます。
この様なアプリの使用は、公益のためにも中止すべきです。
「リモートコード」
https://www.microsoft.com/ja-jp/safety/terms/e_rce.aspx
「踏み台」
https://ja.wikipedia.org/wiki/%E8%B8%8F%E3%81%BF%E5%8F%B010人が参考になったと回答しています。このレビューは参考になりましたか?
ななみす41件「度々と問題提起を受けながらも責任転嫁した」のではありません。2015年に発覚したWinRAR 自己解凍書庫の脆弱性と、2019年に発覚したACE形式の脆弱性は異なる脆弱性です。窓の杜『19年前から存在する脆弱性であるという』の真意はWinRARがACE形式に対応した19年前から脆弱性があった、それ以上の意味はありません。
