カナダCorelのWinZip Computing事業部門は現地時間11月14日,同社のファイル圧縮/解凍ソフトウエア「WinZip 10」にセキュリティ・ホールが見つかったことを明らかにした。細工が施されたWebページにアクセスするだけで,悪質なプログラムを勝手に実行される恐れがある。対策は,セキュリティ・ホールを修正したWinZip 10 build 7245にアップグレードすること。
今回明らかになったセキュリティ・ホールは,WinZip 10に含まれるActiveXコントロール「WZFILEVIEW.FileViewCtrl.61」に存在する。このコントロールを使えば,パソコン上で任意のコマンドを実行できる。悪用されると危険なコントロールである。にもかかわらず,Webページ中のスクリプトから呼び出せるように「安全マーク(Safe for Scripting)」が付けられていた(安全マークについては,関連記事「歴代ウイルスが飛びついた“おいしい”機能(中)」を参照)。
このため,細工が施されたWebページを標準設定のInternet Explorer(IE)でアクセスすると,このコントロールが呼び出されて,パソコン上で任意のプログラムを実行される恐れがある。その結果,パソコンを乗っ取られる可能性がある。
問題のコントロールはWinZip 10のみに含まれているので,これよりも古いバージョンを使っている場合には影響を受けない。
対策は,今回のセキュリティ・ホールを修正したWinZip 10.0 build 7245にアップグレードすること。製品版と評価版のいずれについても,同社サイトからbuild 7245をダウンロードできる。
アップグレードできない環境では,問題のコントロールをIEから呼び出せないようにKill Bitを設定することが回避策となる。米SANS Instituteの情報によれば,同コントロールのクラス識別子(CLSID)は{A09AE68F-B14D-43ED-B713-BA413F034904}。Kill Bitの設定方法については,マイクロソフトのサポート技術情報を参照してほしい。
・カナダCorelのWinZip Computingの情報
・SANS Instituteの情報
