「WinZip」にあらたな脆弱性 - 警告表示を回避するおそれ

Alludo（旧Corel）が提供するファイルアーカイバ「WinZip」にあらたな脆弱性が判明した。既知脆弱性の修正が不十分だったことに起因し、警告表示がバイパスされるおそれがある。

インターネットよりダウンロードしたファイルについて警告するための機能「Mark-of-the-Web：MotW）」をバイパスできる脆弱性「CVE-2025-33028」が判明したもの。

「MotW」が付与されたアーカイブを「WinZip」で解凍した際、元ファイルに存在するフラグが展開先ファイルに引き継がれないという。以前修正された脆弱性「CVE-2024-8811」への対応が不完全だったことに起因するという。

CVE番号を採番したMITREでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「6.1」、重要度を「中（Medium）」と評価。一方発見者は、CVSS基本値を「7.8」を重要度を「高（High）」とした。

「WinZip 29.0（サブスクリプション版76.9）」までのバージョンが影響を受けると指摘されており、2025年4月22日の時点で修正状況は不明となっている。

（Security NEXT - 2025/04/22 ）ツイート