XZ Utilsのマルチスレッドデコーダーに深刻度の高い脆弱性：CVE-2025-31115

4月7日：サイバーセキュリティ関連ニュース

XZ Utilsのマルチスレッドデコーダーに深刻度の高い脆弱性：CVE-2025-31115

Securityonline[.]info – Apr 7, 2025

複数のLinuxディストリビューションなどで広く使用されているファイル可逆圧縮ツール「XZ Utils」に、新たな脆弱性CVE-2025-31115が発見された。5.3.3alphaから5.8.0までのバージョンに影響を与えるCVSSv4スコア8.7のこの脆弱性は、ヒープベースのUse-after-Freeの問題で、システムのクラッシュやメモリ破損に繋がる恐れがあるという。

CVE-2025-31115は、 liblzmaのマルチスレッド化された.xzデコーダーにおける、無効な入力値の処理に関するバグ。lzma_stream_decoder_mt関数を使用するアプリケーションおよびライブラリが影響を受け、悪用された場合には攻撃者によってメモリ破損が引き起こされる可能性があり、これがプログラムの予期せぬ挙動や任意コードの実行にまで繋がる恐れがあるとされる。

パッチはすでに利用可能となっており、XZ Utilsの5.8.1が修正済みのバージョン。また、Gitのxzリポジトリのv5.4、v5.6、v5.8、masterブランチにパッチがコミットされている。また、すぐにはパッチを適用できないユーザーが利用できるワークアラウンドも存在。シングルスレッドの.xzデコーダーは影響を受けないことから、コマンド「xz –decompress –threads=1」および「xzdec」を使うことでリスクを緩和できるとのこと。

WinRARに、WindowsのMark of the Webバイパスを可能にする新たな脆弱性（CVE-2025-31334）

BleepingComputer – April 5, 2025

圧縮データを管理するための高機能な圧縮・解凍ユーティリティであるWinRARに、WindowsマシンでのMark of the Webバイパスを可能にし得る新たな脆弱性CVE-2025-31334が見つかっている。

Mark of the Web（MOTW）はWindowsにおけるセキュリティ機能で、インターネット上からダウンロードされた安全でない恐れのあるファイルにタグを付与して警告を発するもの。WinRARに見つかったCVE-2025-31334はシンボリックリンクベースのMOTWをバイパスできる脆弱性で、攻撃者により細工されたシンボリックリンクを当該製品上で開くと、任意のコードを実行される可能性があるという。なお、Windowsの初期設定では、管理者のみがシンボリックリンクを作成できる。

MOTWバイパスの脆弱性はこれまで、国家支援型のアクターを含むさまざまな脅威アクターに悪用されてきた。最近ではロシアのハッカーが7-Zipにおける同様の脆弱性CVE-2025-0411を悪用し、マルウェアドロッパーSmokeloaderを配布しようとしていたことが報告されている。

今回のWinRARの脆弱性CVE-2025-31334のCVSS v3スコアは6.8とされており、最新の7.11で修正されている。

Eブック無料配布中：Codebook 2024 ~サイバーセキュリティ分析レポート~

Codebookの記事が、Eブックになりました。サイバーセキュリティの2024年を振り返る本書では、昨年1年間を通じてCodebookで発信した重要なニュースの数々とそこから得られる教訓や知見を、弊社インテリジェンスアナリストの見解とともに紐解いていきます。

無料ダウンロードはこちらのバナーから：

目次

第1章：脅威ランドスケープの急速な変化:波乱のランサムウェア情勢と新たに報告された攻撃手法

第2章：世界情勢や地政学がサイバーセキュリティにもたらす影響

第3章：スティーラーの急成長と認証情報の漏洩が生むリスク

第4章：サプライチェーンリスク

第5章：2024 年に組織を脅かした脆弱性