WinRARユーザーは危険にさらされています：最新のアップデートで修正された重大なセキュリティ欠陥

RARLABのWinRARソフトウェアに新たに発見された脆弱性に対するパッチがリリースされました。この脆弱性により、ハッカーがあなたのデバイスでリモートコードを実行できる可能性があります。

知らない方のために、WinRARはWindows用の人気のファイル圧縮およびアーカイバユーティリティで、RARまたはZIPファイル形式のアーカイブを作成および表示し、さまざまなアーカイブファイル形式を解凍できます。

CVE-2025-6218として特定されたこの重大なセキュリティ脆弱性により、攻撃者は特別に作成されたファイルをユーザーに開かせたり、悪意のあるウェブページを訪問させたりすることで、被害者のシステムで悪意のあるコードを実行できる可能性があります。

「ファイルを抽出する際、以前のバージョンのWinRAR、Windows版のRAR、UnRAR、ポータブルUnRARソースコードおよびUnRAR.dllは、特別に作成されたアーカイブ内で定義されたパスを使用するように騙される可能性があります。ユーザー指定のパスの代わりに」と、変更ログのノートには記載されています。

問題は何ですか？

このバグは、WinRARがアーカイブファイル内のファイルパスを処理する方法に起因しています。アーカイブ内に巧妙に操作されたパスを作成することで、攻撃者はソフトウェアを騙して意図しないディレクトリの外にファイルを抽出させることができます。これはディレクトリトラバーサルと呼ばれるよく知られた手法です。この欠陥により、攻撃者はユーザーと同じ権限でシステム上で任意のコードを実行できる可能性があります。

この脆弱性には7.8のCVSSスコアが割り当てられており、高い深刻度の問題を示しています。悪意のあるファイルやリンクを開くためにユーザーの操作が必要ですが、特にダウンロードしたアーカイブファイルを頻繁に扱うユーザーにとっては重要です。

誰が発見しましたか？

この欠陥は「whs3-detonator」として知られる独立したセキュリティ研究者によって発見され、2025年6月5日にTrend Microのゼロデイイニシアティブ（ZDI）を通じてWinRARおよびRARファイル形式の背後にあるRARLABに責任を持って報告されました。この脆弱性の修正は、わずか2週間後にリリースされました。

すべてのプラットフォームが影響を受けますか？

この脆弱性はWinRAR v7.11（およびそれ以前）およびWindows版のRAR、UnRAR、ポータブルUnRARソースコード、UnRAR.dllに影響を与えます。ただし、Unix版のRAR、UnRAR、ポータブルUnRARソースコード、UnRARライブラリ、およびAndroid用のRARは影響を受けません。

ユーザーは何をすべきですか？

RARLABは最新のWinRARバージョン7.12 Beta 1でCVE-2025-6218の脆弱性を修正しました。Windows PCでWinRARを使用している場合は、最新のバージョン7.12に直ちにアップデートすることを強くお勧めします。このバージョンは、ディレクトリトラバーサルリモートコード実行バグを修正するだけでなく、他のいくつかのセキュリティおよび機能の問題も修正しています。詳細については、RARLABの公式アップデートページをこちらで確認できます。