Lhacaに未パッチの脆弱性、悪用トロイの木馬も出現

[ITmedia]

　日本で人気の圧縮・解凍ソフト「Lhaca」に未パッチの脆弱性が発覚、この問題を突いた「.lzh」圧縮形式のファイルが見つかった。米Symantecが6月25日のブログで報告している。

　問題の.lzhファイルは日本の研究者から提出された。Symantecで分析したところ、Lhacaの脆弱性を突いてマルウェアを植えつけるトロイの木馬であることが分かった。

　Symantecは、ゼロデイ攻撃を仕掛けるこのトロイの木馬を「Lhdropper」と命名。日本語版のWindows XPでLhaca 1.20（訳注：おそらく「Lhaca デラックス版1.20」と思われる）を使ってこれを解凍すると、システムフォルダにバックドアを仕掛けるとともに、別のLZHアーカイブを保存して後で悪用できる状態にする。このLZHアーカイブには一太郎形式のクリーンな文書が含まれているが、これはユーザーを警戒させないための仕掛けと見られる。

　Symantecによれば、脆弱性は少なくともバージョン1.20に存在する。SecurityFocusのサイトに掲載された情報では、1.40にも脆弱性があると指摘（27日追記：この「1.40」という表記は「1.20」の誤記だった模様）。スタックバッファオーバーフローの脆弱性が原因で、悪質なLZHの圧縮ファイルを適切に処理できず、悪用されるとアプリケーションをクラッシュさせたり、任意のコード実行が可能になるという。現時点でパッチは公開されていない（27日追記：26日夜に修正版がリリースされた）。