7-Zipで新たに公表された脆弱性により、攻撃者が特別に細工したXZ圧縮ファイルを開かせることでユーザーを騙し、任意のコードを実行できる恐れがあることが分かりました。
脆弱性スキャンツール
CVE-2026-14266として追跡され、Trend MicroのZero Day Initiativeによって ZDI-26-444(ZDI-CAN-30169)として識別されているこの脆弱性は、アーカイブユーティリティがXZチャンクデータを処理する際に発生するヒープベースのバッファオーバーフローです。この脆弱性は2026年7月15日に一般公開され、影響を受けるのはそれ以前のバージョンの7-Zipインストールです。
問題はXZ圧縮データの処理部分にあります。XZはソフトウェアパッケージやバックアップ、配布用アーカイブなど、さまざまな圧縮コンテンツで広く使われている圧縮形式です。
アドバイザリによると、特別に細工されたXZチャンクデータにより、7-Zipがヒープに割り当てられたバッファの境界を越えて書き込みを行ってしまう可能性があります。このメモリ破損状態により、攻撃者がアプリケーションの実行を制御し、現在の7-Zipプロセスのセキュリティコンテキスト内で任意のコードを実行できるようになるおそれがあります。
7-Zipの脆弱性
この脆弱性を悪用するには、ユーザーの操作が必要です。攻撃者は、被害者に悪意のあるアーカイブを開かせるか、悪意のあるウェブページやダウンロード過程を通じて攻撃者が用意したコンテンツにアクセスさせるよう仕向ける必要があります。
この条件により自動化された悪用の可能性は下がるものの、標的型フィッシングやマルウェア配布、ソーシャルエンジニアリングを狙ったキャンペーンにおいては依然として重大なリスクとなります。
攻撃者は、正規のアーカイブやソフトウェアアップデート、ドキュメントの束、共有バックアップファイルなどを装って悪意のあるファイルを偽装し、被害者に7-Zipで処理させようとする可能性があります。
この脆弱性にはCVSSスコア7.0が割り当てられており、ベクターはAV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:Hです。このスコアは、ローカルからの攻撃であることやユーザー操作が必要である点を反映すると同時に、悪用が成功した場合に機密性・完全性・可用性に深刻な影響を及ぼしうる点も考慮しています。
認証や既存の権限は不要であるため、攻撃者が対象デバイスへの事前アクセスを持っていなくても、ファイルを開いただけの被害者が危険にさらされる可能性があります。
ヒープベースのバッファオーバーフローは、動的に割り当てられたメモリを破損させ、プログラムの実行を乗っ取る可能性があるため、特に危険とされています。
標的となる環境や悪用条件によっては、攻撃者がこの脆弱性を利用してマルウェアを起動したり、現在のユーザーがアクセス可能なデータを盗んだり、ファイルを改ざんしたり、対象システムを不安定にさせたりする可能性があります。
アドバイザリでは、CVE-2026-14266が実際の攻撃で悪用されているという情報は示されていませんが、技術的詳細が公開されていることで、今後エクスプロイトが開発される可能性は高まると考えられます。
この脆弱性は2026年6月5日、研究者のLandon Peng氏(Lunbun LLC所属)によって7-Zipに報告されました。協調的な情報開示プロセスを経て、ZDIは2026年7月15日にアドバイザリを公開しました。この問題は7-Zipバージョン26.0で修正されています。
ユーザーおよび組織には、7-Zipバージョン26.0以降へできるだけ早くアップデートすることを強く推奨します。セキュリティチームも、メールやメッセージングプラットフォーム、ファイル共有サービス、信頼できないウェブサイトを通じて配布される不審なXZアーカイブに注意を払うべきです。
セキュリティ意識向上トレーニング
アップデートを適用するまでの間は、予期しない圧縮ファイルを開かないようにし、アーカイブを展開したりプレビューしたりする前に、その提供元を確認するようにしてください。
脅威検知と迅速な調査を加速し、SOCを強化しましょう。 -> ANY.RUNをあなたのSOCに統合する 今すぐ。
翻訳元: https://gbhackers.com/7-zip-vulnerability-lets-attackers-trigger-heap-buffer-overflow/