ニュース
» 2007年09月21日 16時19分 UPDATE

フリー圧縮ツール「Lhaplus」にバッファオーバーフローの脆弱性

ファイル圧縮・解凍ツール「Lhaplus」に、不正なコードを実行されるバッファオーバーフローの脆弱性が発見された。同時に修正版も公開されている。

[ITmedia]

 ファイル圧縮・解凍ツール「Lhaplus」(ラプラス)に悪意のあるコードを実行されてしまうバッファオーバーフローの脆弱性が見つかった。情報処理推進機構(IPA)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は9月21日、JVN(Japan Vulnerability Notes)に情報を公開、注意を呼びかけている。

画像 Lhaplusの脆弱性による影響(IPAの情報より抜粋)

 Lhaplusは、Windows上でデータ圧縮・解凍を行うフリーウェア。外部アーカイブDLLを使わずに複数の圧縮形式に対応するのが特徴で、このうちARJ形式の圧縮ファイルを展開(解凍)する際にバッファオーバーフローの問題が発生するという。ユーザーが細工されたARJファイルを展開すると、ファイル処理を行ったユーザーの権限で意図しないプログラムコードの実行をはじめ、ファイルの削除やマルウェアのインストールなどが行われる恐れがある。

 この問題の影響を受けるのは、Lhaplus バージョン1.54β1およびそれ以前。同日に作者(Schezo氏)が公開した最新のバージョン1.55に更新すれば問題を回避できる。1.54β1以前のバージョン用のアップデータも提供されている。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -