WinRARを販売するRARLABのサイト

写真拡大 (全2枚)

 IPA(情報処理推進機構)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は17日、ファイル圧縮・復元ソフト「WinRAR」に脆弱性が存在することを、脆弱性対策情報ポータルサイト「JVN」において公表した。

 今回公表されたのは、「実行ファイル読み込みに関する脆弱性(JVN#64636058)」。WinRARには、エクスプローラーのように、ファイルを指定して実行する機能が存在するが、拡張子がないファイルだった場合、同名の拡張子付きファイルが別にあれば、そちらを実行してしまう。また、レジストリの操作において、表示中のフォルダに「REGEDIT.BAT」などの実行ファイルがあった場合、Windows標準のレジストリ エディターではなく、そちらを実行してしまう。

 対象となるバージョンは、WinRAR 5.30 beta 4およびそれ以前。最新版にアップデートすることで、脆弱性は解消される。