脆弱性を修正した+Lhacaがリリース

脆弱性が指摘されていた「+Lhaca」について、該当する問題を消去したバージョンがリリースされた。詳細な動作確認を終えた後に正式版となる予定。

[ITmedia]

　国内でも多くのユーザーが存在する圧縮・解凍ソフトウェア「+Lhaca」に未パッチの脆弱性が発覚、この問題を突いた「.lzh」圧縮形式のファイルが見つかった問題で（関連記事参照）、Lhacaの作者である村山富男氏は該当する問題を消去したバージョンを公開した。詳細な動作確認を終えた後に正式版にする予定であるという。

　この脆弱性は、文字列長の確認を適切に行わない strcpy（）の呼び出しが原因となって起こるもので、この脆弱性を突いた問題の.lzhファイルはスタックメモリを上書きし、マルウェアを植えつける。

　公開された「+Lhaca Version 1.21」では、LHA展開処理内に存在したstrcpyをstrncpyに変更、バッファオーバーフローを発生させないようにしたもの。