【IT】圧縮・解凍ソフト「WinRAR」にコード実行の脆弱性 スタートアップフォルダ内にマルウェア 19年前から存在
■ このスレッドは過去ログ倉庫に格納されています
セキュリティ企業のCheck Point Software Technologiesは2月20日、Windows向け圧縮・解凍ソフト「WinRAR」に19年前から存在していた脆弱性を見つけたと発表した。報告を受けてWinRARは2019年1月に公開した更新版でこの問題に対処している。
WinRARはRARやZIP形式のファイルの圧縮と解凍ができるソフトで、職場でもホームコンピュータでも広く利用されている。Check Pointによると、今回の脆弱性を悪用すれば被害者のコンピュータを完全に制御することも可能だったといい、5億人以上のユーザーが危険にさらされた状態だったとしている。
脆弱性は、WinRARでACE形式のアーカイブの解凍に使われていたサードパーティーライブラリの「UNACEV2.DLL」に存在していた。
Check Pointは、この問題を突く不正なアーカイブを作成してWinRARで解凍させることにより、指定されたフォルダとは違うフォルダにファイルを保存させるパストラバーサル攻撃を実証。コンピュータの起動時にファイルが実行されるスタートアップフォルダ内に、マルウェアを作成することに成功したとしている。
WinRARでは報告を受け、「バージョン5.70 β1」でこの問題に対処したことを明らかにした。問題が指摘された「UNACEV2.DLL」はACE形式のアーカイブの解凍に使っていたもので、2005年以来、更新されていなかったことが判明。ソースコードにもアクセスできなかったことから、ACEアーカイブフォーマットのサポートは打ち切ることにしたと説明している。
https://image.itmedia.co.jp/enterprise/articles/1902/21/ki_winrar01.jpg
https://www.youtube.com/watch?v=R2qcBWJzHMo
2019年02月21日 08時30分 ITmedia
https://www.itmedia.co.jp/enterprise/articles/1902/21/news072.html winrarって有料でしょ?
そんなに使われてる? 他の解凍ソフトでも
「UNACEV2.DLL」が入ってたら不味いわけか aceなんて使ってる奴見たことないぞ
lzhと同じオワコンだろ windowsってフォルダを圧縮モードで使えるんだよね?
やった事ないけど。
やっぱ結構遅くなるの? RARなんてダイヤルアップ接続時代に安心感得るために使うものだっただろ ソースコードにもアクセスできなかった、、、、、、、ずさんな管理だぬ。 ◯丸とこれはフリーソフトだと聞いてるけど、俺は7zip派 WinRARとかWinZipとか昔のソフトだな
今は7Zipだ .ace?
ほぼ使われてないやろ
結局それが脆弱性につながったんか 俺が7zipに一番乗りだったのにお前ら調子に乗んなよ こんなんよゆーよゆー
スマホのほうがもっとやべえ状態思うわ ACEなんか見たことないな。ヨーロッパで主流とか昔見たけど誰か使っているのか
>>18
GCA作者「脆弱性があるのでDGCA使ってください」 誰も課金してくれないのに脆弱性の報告があれば即座に対応する
聖人か? dgcaはリカバリーレコードがあるのに流行らんかったな ウチのMicrosoftアカウントがハッキングされたのはコレが原因かなあ 高速化と大容量化のおかげて最近はZIPしか使ってない だいたい相対パス関係でゴニョゴニョすると良からぬ場所に勝手にファイルを解凍する不具合が見つかる >>1
winRARの脆弱性じゃなくて「UNACEV2.DLL」の脆弱性だろ >>35
誰も課金していないのなら何のためにシェアウェアとして長年開発続けているんだよw >>40
お前がACE形式なんて使ってるわけないだろ
よく自分の行為を自覚しとけ割れ厨 かなーり前にDLしたフリーソフトが何故か.aceだったのをみたくらいだなぁ
メリットあったのかな? Microsoftが運営するサイトMSNでマルウェアの広告が表示されるのもコレが原因かなあ ACE形式のファイルを解凍するとまずいかもってこと? 通信量減らすだけの圧縮アプリ、
見られて何か問題が?
暗号アプリなら問題だけどw
どんな機密情報をやりとりしてるのか謎だ Windows 10はMicrosoftアカウント必須みたいなもんなのにハッキングされるとかヤベェよなあ 標準で.zipが使えるのに、わざわざWinRARなんて使ってねーよ 7zipとかのメジャーどころでリカバリレコードとか、パリティに対応しないかなぁ
書庫ファイル内蔵じゃなく、別ファイル作成する方式でも良いからさぁ Win95、98時代は良質な圧縮ソフトを色々試していたな アタッシェケースだと400M圧縮約2分、解凍は約45秒、
8Gだと圧縮約30分〜約1時間、解凍約15〜約30分。
パスワード付きで安定している。 解凍場所に使ったフォルダが削除できなくなるバグが、
まだ残ってやがるw
再起動してから消すのが面倒くさい。
今の俺は、7z一択だなw >>62
USBメモリなんて無かったから分割ソフトも欠かせなかったな 相手先は解凍ソフト持ってない持ってるで面倒臭かった
自動解凍ソフトは便利だった >>42
ExplzhはACE32.exeに丸投げだね 40日間無料です!
↓
40日後…
気に入った?購入してね!
でも購入しなくても解凍は使えるよ!
↓
気に入った?購入してね!
でも購入しなくても解凍は使えるよ!
↓
以下ループ 昔はjpgや別拡張子で偽造してるうpしてるサイトとかもあったな >>68
という事は大丈夫か
わざわざ見てくれたのかな?ありがとう DGCAはファイルならなんでもrr付けれた
zipファイルに後からrr付けてそのままzipで解凍できたから
こういう裏技知ってんの俺だけかな?
うちのエロ動画にdgcr.mpgっての残ってるわ 7zipって解凍上限あったっけ?
winRARは解凍無制限だけど
Lhasaは4Gまでしか対応してないしなぁ よく分からん拡張のファイルが出た時どのソフトで解凍すればいいのか探すだけでも楽しかった時代 圧縮解凍ソフトってめっきり使わなくなったな、よく使ってたあの頃が懐かしい。 圧縮解凍と言う言葉にギアッチョがキレているのが浮かんだ。 まだ現役のソフトなんだな
昔はYahooブリーフケースにアップしたりでzipかrarで上がってたっけな 32bit時代は最強だったが
さすがにもう使ってないだろ >>6
試用期限は設けられてはいるが
過ぎても使用できるガバ仕様 ACE形式のファイルとか遭遇したことないが、とりあえず関連付け外しておいたわ 昔の有名ソフトウェアはオープンソースも少ないが、だったらソースコードぐらい誰か管理しとけよな >>18
リカバリレコードがなく破損ファイルだらけになるから、
WinMX時代終盤には既にrarに取って代わられてたでしょ >>89
ソリッド圧縮のメリット・デメリットがそのまま当てはまる むかーし使ったなー
エロ画像をフロッピーディスクに入れるのにさ
すぐに読み出し出来なくなってアタマ真っ白になった思い出 ■ このスレッドは過去ログ倉庫に格納されています