あらゆる拡張子に対応した定番の解凍・圧縮ソフト「7-Zip」に、リモートコード実行の脆弱性が発見されました。
この脆弱性のCVE(脆弱性識別子)はCVE-2024-11477。
現時点で悪用報告はありませんが、CVSSスコアは7.8と比較的高く、早めに対応したいところです。
この脆弱性により、ユーザーが悪意のあるアーカイブを操作したときに、攻撃者が現在のプロセスのコンテキストで任意のコードを実行できるようになります。
電子メールの添付ファイルや共有ファイルを通じて配布されたアーカイブをユーザーに開かせることで、この脆弱性の悪用が可能になります。
本脆弱性は7-Zip 24.07で修正されています。
なお、最新版は24.09なので、この機会に最新版にするのがベストです。
7-Zipのダウンロードはこちらからどうぞ。
参考:Critical 7-Zip Vulnerability Let Attackers Execute Arbitrary Code