人気のファイル圧縮・解凍ソフト「Lhaplus」に微弱性が見つかる
フリーウェア・シェアウェアのジャンルが全盛期だった以前では、たくさんの有名な圧縮・解凍ソフトがありましたが
最終的にはLhaplusが人気を継続しています。
そんな人気の「Lhaplus」に、任意のコードを実行される微弱性が見つかりました。
古いパソコンでインストールしたままのLhaplusを利用している場合は注意が必要です。
対象となるバージョンは、Lhaplus Version 1.59以前となっています。
その他のバージョンでも、多くの微弱性問題がありそうです。
古いバージョンを利用している人は、できるだけ早く最新版にアップデートを行ってください。
Lhaplus Version 1.71 [ 2015/04/02 ]
* 以下は 1.70 と同じ文面ですが、別個の修正となります。
1.70 をインストールされた方は、お手数になって申し訳ありませんが、
こちらの 1.71 のインストールをお願いいたします。
特定のアーカイブ処理時に、バッファオーバーフローが発生する脆弱性を修正しました。
(脆弱性発見者の Masato Kinugawa 様に、深く感謝申し上げます)
特定のアーカイブ処理時に、意図的しない場所に解凍される脆弱性を修正しました。
(脆弱性発見者の Masato Kinugawa 様に、深く感謝申し上げます)
Lhaplus Version 1.70 [ 2015/04/01 ]
特定のアーカイブ処理時に、バッファオーバーフローが発生する脆弱性を修正しました。
詳細は こちら をご覧ください。
(脆弱性発見者の Masato Kinugawa 様、
ご協力いただいた IPA 、JPCERT/CC の方々に、深く感謝申し上げます)
特定のアーカイブ処理時に、意図的しない場所に解凍される脆弱性を修正しました。
詳細は こちら をご覧ください。
(脆弱性発見者の ニコニコ技術部 akira_you 様、
検索パスの問題による脆弱性について (Version 1.57 以前)
検索パスの問題で、意図的しないプログラムコードを実行してしまう恐れがあります。
この脆弱性を修正しました。詳細は こちら をご覧ください。
(脆弱性発見者の Hitachi Incident Response Team 様、塩月 誠人 様、
ご協力いただいた IPA 、JPCERT/CC の方々に感謝いたします)
ZOO 展開時の脆弱性について (Version 1.56 以前)
ZOO 形式のアーカイブ処理時に、バッファオーバーフローが発生する不具合があり、
意図的に埋め込まれたコードを実行される恐れがあります。
この脆弱性を修正しました。詳細は こちら をご覧ください。
(脆弱性発見者の 鵜飼 裕司 様、ご協力いただいた IPA 、JPCERT/CC の方々に感謝いたします)
LZH 展開時の脆弱性について (Version 1.55 以前)
LZH 形式の展開時に、バッファオーバーフローが発生する不具合があり、
意図的に埋め込まれたコードを実行される恐れがあります。
この脆弱性を修正しました。詳細は こちら をご覧ください。
(脆弱性発見者の方、ご協力いただいた IPA 、JPCERT/CC の方々に感謝いたします)
ARJ 展開時の脆弱性について (Version 1.53 以前)
ARJ 形式の展開時に、バッファオーバーフローが発生する不具合があり、
意図的に埋め込まれたコードを実行される恐れがあります。
Version 1.54 以降で、この脆弱性が修正されています。詳細は こちら をご覧ください。
(脆弱性発見者の 鵜飼 裕司 様、ご協力いただいた IPA 、JPCERT/CC の方々に感謝いたします)
指定外の場所へファイルが解凍されてしまう脆弱性について ( 窓の杜 )
Version 1.25 以降では、設定された解凍先フォルダの下位以外には解凍されないように処理することで対処済みです。
(解凍先フォルダを C:\ などのルートに設定すると、上記のチェックが無意味となるので、避けてください)
この件について、情報を下さった方には感謝申し上げます。ありがとうございました。
このチェックをくぐり抜けるようなアーカイブファイルを発見した場合、ご連絡お願いします。
Lhaplus
www7a.biglobe.ne.jp/~schezo/