「WinZip」に保護機能バイパスの脆弱性 - 6月の更新で修正済み
Alludo(旧Corel)が提供するファイルアーカイバ「WinZip」の脆弱性が明らかとなった。アップデートで修正されている。
インターネットよりダウンロードした際に付与される「ゾーン情報」の「Mark-of-the-Web(MoTW)」を削除する脆弱性「CVE-2024-8811」が報告されたもの。
細工したアーカイブファイルをユーザーに開かせた場合に、インターネットよりダウンロードされたことを警告するアラートがバイパスされ、悪意あるファイルがそのまま実行されてしまうおそれがある。
共通脆弱性評価システム「CVSSv3.0」のベーススコアは「7.8」と評価されており、重要度は「高(High)」とレーティングされている。
脆弱性は現地時間5月に報告され、脆弱性へ対処した「WinZip 76.8」を6月にリリース済み。
米国立標準技術研究所(NIST)の脆弱性データベース「NVD」には、11月22日に収録されたが、脆弱性を報告したZero Day Initiativeでは開発者と協調のもと、9月にアドバイザリを公開していた。
(Security NEXT - 2024/11/25 )
ツイート
関連リンク
PR
関連記事
2024年3Qのクレカ不正利用、約132.7億円 - 前四半期比2.4%減
2Qクレカ不正利用、前四半期比16%増 - 被害額が過去最多
修学旅行参加生徒の療育手帳が所在不明 - 西鉄旅行
QNAP製NASのOSに複数脆弱性 - アップデートで修正
障害児相談支援事業所に利用者の個人情報をメールで誤送信 - 高槻市
グループの一部サーバでランサム被害 - Denis Japan
DB抽出の個人情報が外部から閲覧可能に、設定ミスで - RIZAP
監視ツール「WhatsUp Gold」の深刻な脆弱性、詳細が明らかに
「Microsoft Edge」にアップデート - 脆弱性2件を解消
「WordPress」のメンテ機能を提供するプラグインにRCE脆弱性