ACE 形式に脆弱性 WinRAR や Explzh などに影響ACE 書庫の解凍に脆弱性が見つかったようです
19年前から存在か ~圧縮・解凍ソフト「WinRAR」にゼロデイ脆弱性 - 窓の杜圧縮・解凍ソフト「WinRAR」にコード実行の脆弱性 19年前から存在 - ITmedia エンタープライズWinRAR と報じていますが
実際の脆弱性は WinRAR から呼び出している
「UNACEV2.DLL」の問題の為
WinRAR だけの話ではありません
WinRAR は 5.70 Beta 1 で
ACE 書庫への対応を打ち切り
21. Nadav Grossman from Check Point Software Technologies informed us about a security vulnerability in UNACEV2.DLL library.
Aforementioned vulnerability makes possible to create files in arbitrary folders inside or outside of destination folder when unpacking ACE archives.
WinRAR used this third party library to unpack ACE archives.
UNACEV2.DLL had not been updated since 2005 and we do not have access to its source code.
So we decided to drop ACE archive format support to protect security of WinRAR users.
We are thankful to Check Point Software Technologies for reporting this issue.
WinRAR archiver, a powerful tool to process RAR and ZIP files
WinRAR 5.70 Beta 1 以前でも
WinRAR のインストールフォルダ―から
以下の二つを削除すればよさそうです
UNACEV2.dll
Ace32Loader.exe
Explzh も Ver 7.74 で
Ace書庫の対応を打ち切っています
他のアーカイバーを利用している場合も
UNACEV2.dll が入っている場合があるので
ACE書庫を扱う必要がないなら削除しておくといいでしょう
どうやら UNACEV2.dll(と ACE 書庫)の開発元に連絡がつかないようですね
UnAceV2J.DLL を通すことで脆弱性は回避できるようですが
対応しているアーカイバーがあるのだろうか
Common Archivers Library: UnAceV2J.DLLAmazon プライム30日無料体験 (退会後も不期的で復活)
![Mayflash アーケードスティック F300 Elite PS4/PS3/NEOGEO mini/XBOX ONE/XBOX 360/PC/Android/Switch対応 [日本正規品]](https://images-na.ssl-images-amazon.com/images/I/71p-jrXfbHL._SL160_.jpg)
