【訳】
7-Zipは、Windows MoTWセキュリティ警告をバイパスするバグを修正しました。今すぐパッチを適用してください
【図表】
MoTWフラグ付きでダウンロードした実行ファイルを起動する(BleepingComputer)
出典: https://www.bleepingcomputer.com/news/security/7-zip-fixes-bug-that-bypasses-the-windows-motw-security-mechanism-patch-now/
【要約】
7-Zipに存在する脆弱性(CVE-2025-0411)により、攻撃者はWindowsのセキュリティ機能「Mark of the Web(MoTW)」を回避し、悪意のあるファイルを実行可能にすることが判明しました。MoTWは、信頼できないソースから取得されたファイルに警告を表示する仕組みですが、この脆弱性ではネストされたアーカイブ内のファイルにMoTWフラグが伝搬されず、警告が無効化されます。攻撃者はこれを利用してマルウェアを拡散可能です。7-Zipの開発者は2024年11月にバージョン24.09でこの脆弱性を修正しましたが、自動更新機能がないため多くのユーザーが依然として脆弱な状態にある可能性があります。ユーザーは速やかなバージョンアップを推奨されています。
【ニュース】
◆7-Zip fixes bug that bypasses Windows MoTW security warnings, patch now (BleepingComputer, 2025/01/21 11:05)
[7-Zipは、Windows MoTWセキュリティ警告をバイパスするバグを修正しました。今すぐパッチを適用してください]
https://www.bleepingcomputer.com/news/security/7-zip-fixes-bug-that-bypasses-the-windows-motw-security-mechanism-patch-now/
【関連まとめ記事】
◆7-Zip (まとめ)
https://vul.hatenadiary.com/entry/7-Zip
