ニュース
» 2007年06月27日 01時01分 UPDATE

脆弱性を修正した+Lhacaがリリース

脆弱性が指摘されていた「+Lhaca」について、該当する問題を消去したバージョンがリリースされた。詳細な動作確認を終えた後に正式版となる予定。

[ITmedia]

 国内でも多くのユーザーが存在する圧縮・解凍ソフトウェア「+Lhaca」に未パッチの脆弱性が発覚、この問題を突いた「.lzh」圧縮形式のファイルが見つかった問題で(関連記事参照)、Lhacaの作者である村山富男氏は該当する問題を消去したバージョンを公開した。詳細な動作確認を終えた後に正式版にする予定であるという。

 この脆弱性は、文字列長の確認を適切に行わない strcpy()の呼び出しが原因となって起こるもので、この脆弱性を突いた問題の.lzhファイルはスタックメモリを上書きし、マルウェアを植えつける。

 公開された「+Lhaca Version 1.21」では、LHA展開処理内に存在したstrcpyをstrncpyに変更、バッファオーバーフローを発生させないようにしたもの。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ