ファイル圧縮・展開ソフト「Lhaplus」に脆弱性、最新版アップデートを推奨

2015年4月9日マイナビニュース

独立行政法人情報処理推進機構(IPA)および一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)は9日、Schezo氏によるフリーの定番ファイル圧縮・展開ソフトウェア「Lhaplus」に脆弱性が存在すると発表した。影響を受けるバージョンは、「Lhaplus」Version 1.59およびそれ以前。

今回発覚した脆弱性は、ファイル名の処理に起因するディレクトリトラバーサルの脆弱性および、任意のコードを実行される脆弱性。前者では、名前を細工されたファイルを展開することで、任意のファイルを作成されたり既存のファイルを上書きされたりする恐れがある。後者では、細工されたファイルの展開により、任意のコードを実行される恐れがある。

いずれの脆弱性も、1日に公開された「Lhaplus」Version 1.70で修正されている。また、2日には特定のアーカイブ処理時に、バッファオーバーフローが発生する脆弱性および、特定のアーカイブ処理時に意図的しない場所に解凍される脆弱性を修正した「Lhaplus」Version 1.71も公開済み。最新版は8日に公開された「Lhaplus」Version 1.72で、64bit OS環境下でコンテキストメニューでの圧縮に失敗する場合があった不具合の修正などが行われている。

この記事もおすすめ

「誰かに撮られていた」という恐怖…既婚者との浮気が職場に知れ渡るまでの話と、その先にあるもの

提供元の記事

提供：

ファイル圧縮・展開ソフト「Lhaplus」に脆弱性、最新版アップデートを推奨

この記事もおすすめ

提供元の記事

関連リンク

この記事のキーワード