■ 概要

　7-ZIP32.DLL で作成した自己解凍書庫における任意のDLL読み込みの脆弱性

■ 問題のあるバージョン

　7-zip32.dll ver9.22.00.01 以前。

■ 詳細

　7-ZIP32.DLL で作成された自己解凍書庫には、
  制御されてない検索パス要素の問題(CWE-427)があり
　不正に置かれた意図しない DLL を読み込んでしまう脆弱性があります。
　このため自己解凍書庫を展開する際に任意のコードを実行される恐れがあります。

　本家 7-Zip に存在した「7-Zip for Windows のインストーラにおける
  任意の DLL 読み込みに関する脆弱性」(JVN#76780067)
　と同根の問題です。

■ 対処方法

　7-zip32.dllを ver9.22.00.02 以降にバージョンアップする。
  自己解凍書庫を作成し直す。

■ 対応状況

・2017/02/07
　脆弱性発見者よりJPCERT/CC経由で脆弱性情報の詳細について通知を受ける。

・2017/02/08
　7-Zip ver9.22.00.02リリース。

・2017/02/14
　脆弱性情報公開。

■ 参考

　【JVN】 https://jvn.jp/jp/JVN86200862/
　【CWE】 https://cwe.mitre.org/data/definitions/427.html


■ 謝辞

　脆弱性発見者及び連絡をして戴いたJPCERT/CCの方々に感謝いたします。
  脆弱性届出者 ：　橘総合研究所　英利 雅美様