脆弱性対策情報ポータルサイト“JVN”は17日、RAR形式の圧縮に対応する圧縮・解凍ソフト「WinRAR」に脆弱性が存在することを明らかにした。

“JVN”の脆弱性レポートによると、64bit版を含む「WinRAR」v5.30 beta 4およびそれ以前のバージョンには、実行ファイル読み込みに関する脆弱性（CVE-2015-5663）が存在するという。

たとえば、「WinRAR」にはユーザーが指定したローカルファイルを実行する機能が存在するが、指定したファイルに拡張子がない場合、同一フォルダーにある同名の拡張子付きファイルを実行してしまう恐れがある。

また、「WinRAR」はレジストリへ設定を保存したり、レジストリから設定を復元する機能を備えているが、画面で表示しているフォルダーに“REGEDIT.BAT”などの実行ファイルが存在する場合にその機能を利用すると、OS標準の「レジストリ エディター」（regedit.exe）ではなく、“REGEDIT.BAT”が実行されてしまう。

なお、JPCERT/CCによる本脆弱性の評価は、“CVSS v3”で基本値“7.8（危険）”、“CVSS v2”で基本値“5.1（警告）”で、v5.30 beta 5ですでに修正されているとのこと。11月24日に公開された最新正式版v5.30を利用していれば問題ないが、このバージョンは日本語公式サイトでは公開されておらず、英語の公式サイトから入手する必要があるので注意したい。