写真：窓の杜

　解凍・圧縮ソフト「7-Zip」に、リモートコード実行の脆弱性が発見された。6月19日にリリースされた「7-Zip 24.07」以降へのアップデートが必要だ。 　この脆弱性は、「Zstandard」における解凍（展開）処理の実装に起因する。ユーザーから提供されるデータを適切に検証しておらず、細工を施すことでメモリへ書き込む前に整数アンダーフローが発生させることが可能。任意のコードを現在のプロセスコンテキストで実行できるようになる。 　問題はTrend Microのセキュリティ部門から6月12日に開発チームへ報告され、ほどなく修正された。両者の調整の上、11月20日にセキュリティアドバイザリが公開されている。深刻度の評価は、CVSSの基本値で「7.8」。できるだけ早い対処が必要だ。 　「7-Zip」は、LZMA/LZMA2アルゴリズムで圧縮された7z形式書庫ファイルを扱うためのツール。ZIP/GZIPなどの書庫ファイルの圧縮・解凍も可能で、解凍だけであればARJ/CAB/LZH/RARなどの形式にも幅広く対応する。開発はオープンソースで行われており、コードの大部分は「GNU LGPL」ライセンス。商用を含め、あらゆる環境で無償利用できるのが強みだ。対応OSは64bit版を含むWindows 2000以降で、現在「7-Zip」の公式サイトや窓の杜ライブラリから無償でダウンロードできる。執筆時現在の最新版は、8月11日リリースの「7-Zip 24.08」。 ソフトウェア情報 「7-Zip」・【著作権者】 Igor Pavlov　氏 ・【対応OS】 64bit版を含むWindows 2000/XP/Vista/7/8/10およびWindows Server 2003/2008/2012/2016/2019 ・【ソフト種別】 フリーソフト ・【バージョン】 24.04（24/05/14）