Cybersecurity Newsは4月7日(現地時間)、「CVE-2025-31115: XZ Utils Hit Again with High-Severity Multithreaded Decoder Bug」において、圧縮ツールおよびライブラリの「XZ Utils」から重大な脆弱性が発見されたと報じた。
攻撃者によって細工されたアーカイブファイルを解凍するとプログラムのクラッシュに加え、任意のコード実行につながる可能性がある。
-
CVE-2025-31115: XZ Utils Hit Again with High-Severity Multithreaded Decoder Bug
脆弱性に関する情報
脆弱性の情報(CVE)は次のとおり。
- CVE-2025-31115 - liblzmaのマルチスレッドデコーダーにスレッド競合状態や解放後使用(UAF: use-after-free)など複数の脆弱性。lzma_stream_decoder_mt関数を使用するアプリケーションおよびライブラリーに影響する。関数に無効な入力を行うと、プログラムのクラッシュに加え、任意のコード実行につながる可能性がある(CVSSスコア: 8.7)
脆弱性の詳細は次のページにまとまっている。
脆弱性が存在する製品
脆弱性が存在する製品およびバージョンは次のとおり。
- XZ Utils 5.3.3alphaから5.8.0までのバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- XZ Utils 5.8.1
バージョン5.4、5.6系に関しては、masterブランチに修正がコミットされている。これら古い安定版ブランチからパッケージがリリースされる予定はない。
軽減策と対策
この脆弱性はマルチスレッドデコーダーのみ影響を受け、シングルスレッドデコーダーは影響を受けない。そのため、次のいずれかのコマンドを使用することで影響を回避することができる。
- xz --decompress --threads=1
- xzdec
XZ UtilsはLinux系オペレーティングシステムなどを中心に広く利用されている。影響を受けるLinuxディストリビューションを利用しているユーザーは、各ディストリビューターの公式発表を確認し、必要に応じてアップデートすることが望まれる。また、Windows向けバイナリーパッケージを利用しているユーザーには、速やかなアップデートが推奨されている。
Windows 11組み込みアプリを最新にアップデート(インストールメディア)
