Zero Day Initiativeは1月19日(米国時間)、「ZDI-25-045|Zero Day Initiative」において、Windowsの人気ファイルアーカイバ「7-Zip」に重要な脆弱性が存在すると報じた。

この脆弱性を悪用されると、Windowsのセキュリティ警告機能「MoTWマーク(MoTW: Mark-of-the-Web)」を回避される可能性がある。

  • ZDI-25-045|Zero Day Initiative

    ZDI-25-045|Zero Day Initiative

脆弱性に関する情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-0411 - 開いているアーカイブの中に別の開いているアーカイブがある場合など、ネストされたアーカイブから抽出されたファイルに対してZone.Identifierストリームを伝搬しない脆弱性(CVSSスコア: 7.0)

脆弱性が存在する製品

脆弱性が存在する製品およびバージョンは次のとおり。

  • 7-Zip バージョン24.08およびこれ以前のバージョン

セキュリティ脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • 7-Zip バージョン24.09

WindowsのMoTWマークは、インターネットから取得した安全ではないファイルを識別する重要なセキュリティ機能。この機能により、安全ではないファイルの実行時に警告を表示したり、Officeドキュメントのマクロを無効化したりするなど、ユーザーを保護する仕組みが働くようになっている。

7-Zipもバージョン22.00からアーカイブファイルを展開した際に、アーカイブファイルのMoTWマークを伝搬する仕組みを実装している。しかしながら、従来の7-Zipはアーカイブファイル内に「細工されたMoTWマークの付いたアーカイブファイル」が含まれる場合、内部のアーカイブファイル展開時に正しいMoTWマークを伝搬できなかった。

この脆弱性の悪用にはユーザー操作を必要とする。しかしながら、攻撃者はこの脆弱性を悪用することで、警告を回避して悪意のあるファイルを実行させることが可能だ。マルウェアのインストールなど、深刻な結果につながる可能性がある。そのため、深刻度は重要(Important)と評価されている。

脆弱性は2024年11月29日公開のバージョン24.09で修正された。7-Zipを利用しているユーザーは、速やかにアップデートすることが推奨されている。