Zero Day Initiativeは8月17日(米国時間)、「ZDI-23-1152|Zero Day Initiative」において、RARLABのアーカイバであるWinRARに任意のコード実行を可能にする脆弱性があると報じた。この脆弱性はCVE-2023-40477として追跡されており、リカバリボリュームの配列インデックスの不適切な検証によってバッファの終端を超えてメモリアクセスが発生する可能性があるとしている。

  • ZDI-23-1152|Zero Day Initiative

    ZDI-23-1152|Zero Day Initiative

Zero Day Initiativeによると、攻撃者はこのバグを悪用して現在のプロセスのコンテキストで任意のコードを実行する可能性があるとしている。ただし、この攻撃はWinRARの使用者が悪意のあるページにアクセスするか、悪意のあるファイルを開く必要があるとされ、安全でないRARアーカイブファイルを開かないように注意することで回避できる。

RARアーカイブファイルは将来的にWindows11でネイティブ対応が予定されており、高度な機能を必要としなければWindowsの機能のみで展開できるようになるものとみられている。

RARLABはこの脆弱性を2023年8月2日に公開したバージョン6.23において修正しており、WinRARを使用している場合は速やかな更新が望まれている(参考:「WinRAR News: WinRAR 6.23 final released」)。