広く利用されているオープンソースのファイルアーカイバ「7-Zip」に、ヒープベースのバッファオーバーフローに起因する重大な脆弱性が見つかりました。これによりリモートの攻撃者が対象システム上で任意のコードを実行できる可能性があります。
CVE-2026-14266として追跡されているこの欠陥は、7-Zipが展開処理中にXZチャンクデータを扱う部分に存在します。
具体的には、細工されたXZ圧縮データによってヒープベースのバッファオーバーフローが引き起こされ、攻撃者はそのファイルを処理するプロセスの権限でコードを実行できてしまいます。
この脆弱性はリモートコード実行につながる可能性があることから重大度は「Critical(緊急)」に格付けされていますが、悪用にはユーザーの操作が必要です。
攻撃者は、標的となるユーザーに悪意あるファイルを開かせるか、7-Zipによる特別に細工されたXZアーカイブの処理を引き起こす悪意あるWebページを閲覧させる必要があります。
この操作要件があるため、完全に認証不要でゼロクリックな脆弱性と比べればリスクの度合いはやや低くなります。とはいえ、ユーザーがメールの添付ファイルやダウンロードファイル、共有リンクから圧縮アーカイブを日常的に開いている実態を踏まえると、依然として深刻な脅威であることに変わりはありません。
問題の核心は、7-ZipがXZチャンクデータストリームを解析する方法にあります。XZはデータをブロックとチャンクに整理して格納する圧縮フォーマットで、それぞれに展開時に元のファイルを再構成するためのメタデータが付与されています。
ZDIによると、チャンクデータの検証が不十分なため、攻撃者は処理中にヒープ上に確保されたバッファをオーバーフローさせる入力を作り出すことができるとされています。
この種のヒープオーバーフローは隣接するメモリ構造を破壊し、攻撃者がプログラムの実行フローを乗っ取ることを可能にする恐れがあります。
実際には、悪用に成功すると攻撃者は7-Zipを実行しているユーザーと同じ権限で任意のコードを実行できるようになり、マルウェアの展開やデータの窃取、侵害された環境内でのさらなる横展開への道が開かれてしまいます。
この脆弱性は、正式に修正されたバージョン26.02より前の7-Zipのインストール環境に影響します。7-Zipをアーカイブ管理に利用しているユーザーおよび組織は、直ちにバージョン26.02以降へのアップデートを最優先で行うべきです。
7-Zipは企業・個人環境の双方で圧縮ファイルの取り扱いに広く使われているため、未パッチのシステムは、フィッシングメールや侵害されたWebサイトを通じて悪意あるXZアーカイブを配布するソーシャルエンジニアリングキャンペーンにさらされ続けることになります。
この脆弱性は、Lunbun LLCのLandon Peng氏によって発見・報告されました。同氏の調査が、7-ZipのXZチャンク処理ロジックに存在するこの欠陥の特定に貢献しました。
セキュリティチームは、特に外部や信頼できない送信元からのファイルを7-Zipで処理する環境において、この問題を優先度の高いパッチ適用項目として扱うことが推奨されます。
より強力なプロアクティブ防御で、重大インシデントと金銭的損失を防ぎましょう。15,000のSOCが利用するライブ脅威フィードを導入する
翻訳元: https://cyberpress.org/critical-7-zip-xz-vulnerability/