圧縮・解凍ツール「Lhaplus」にバッファオーバーフローの脆弱性

2007年に連続して見つかった脆弱性とは異なるという。

[ITmedia]

　ファイル圧縮・解凍ツール「Lhaplus」にバッファオーバーフローの脆弱性が見つかったとして、情報処理推進機構（IPA）セキュリティセンターとJPCERTコーディネーションセンター（JPCERT/CC）は4月28日、JVN（Japan Vulnerability Notes）に情報を公開した。

　対象となるのはLhaplus Version 1.56およびそれ以前のバージョン。ZOO形式のアーカイブ処理の際にバッファオーバーフローの脆弱性があり、第三者がこの脆弱性を悪用して細工したファイルをユーザーが展開すると、ユーザーのシステム上で任意のコードを実行される可能性がある。

　Lhaplusには、昨年9月と11月に相次いでバッファオーバーフローの脆弱性が報告されていたが、今回公開された脆弱性は以前のものとは異なるという。

　作者はこの脆弱性を修正したLhaplus Version 1.57を公開し、ユーザーへ最新版に更新するように呼びかけている。