人気ファイル圧縮・展開ソフト「Lhaplus」に脆弱性

情報処理推進機構(IPA)とJPCERTコーディネーションセンターは4月9日、ファイル圧縮・展開を行うフリーソフト「Lhaplus」に脆弱性があるとして最新版へのアップデートを呼びかけた。

確認された脆弱性は、展開するファイル名の処理に起因するディレクトリ・トラバーサルの脆弱性と、任意のコードを実行される脆弱性。

ディレクトリ・トラバーサルの脆弱性では、名前を細工されたファイルを展開することで、特定のファイルを作成されたり、既存のファイルを上書きされる恐れがある。もう一方の脆弱性も、細工されたファイルの展開で任意のコードを実行される恐れがある。

影響を受けるバージョンは1.59とそれ以前のバージョンで、現在、最新バージョンでは1.72が公開されている。