フリー圧縮ツール「Lhaplus」にバッファオーバーフローの脆弱性

[ITmedia]

　ファイル圧縮・解凍ツール「Lhaplus」（ラプラス）に悪意のあるコードを実行されてしまうバッファオーバーフローの脆弱性が見つかった。情報処理推進機構（IPA）セキュリティセンターおよびJPCERTコーディネーションセンター（JPCERT/CC）は9月21日、JVN（Japan Vulnerability Notes）に情報を公開、注意を呼びかけている。

Lhaplusの脆弱性による影響（IPAの情報より抜粋）

　Lhaplusは、Windows上でデータ圧縮・解凍を行うフリーウェア。外部アーカイブDLLを使わずに複数の圧縮形式に対応するのが特徴で、このうちARJ形式の圧縮ファイルを展開（解凍）する際にバッファオーバーフローの問題が発生するという。ユーザーが細工されたARJファイルを展開すると、ファイル処理を行ったユーザーの権限で意図しないプログラムコードの実行をはじめ、ファイルの削除やマルウェアのインストールなどが行われる恐れがある。

　この問題の影響を受けるのは、Lhaplus バージョン1.54β1およびそれ以前。同日に作者（Schezo氏）が公開した最新のバージョン1.55に更新すれば問題を回避できる。1.54β1以前のバージョン用のアップデータも提供されている。