最新版に更新で解消

国産圧縮ツール「Lhaplus」に脆弱性

2007/09/21

 情報処理推進機構(IPA)は9月21日、国産の圧縮・解凍ツール「Lhaplus」に任意のコードが実行されるバッファオーバーフローの脆弱性があると発表した。脆弱性があるのは「1.54 beta 1およびそれ以前」のバージョン。最新バージョンにアップデートすることで脆弱性はなくなる。国産圧縮ツールではこれまで「Lhaz v1.33」や「+Lhaca」の脆弱性が発見され、ゼロデイ攻撃も起きている。

 IPAによると1.54 beta 1およびそれ以前のバージョンのLhaplusには、細工されたARJ形式のアーカイブの展開処理を行った場合に、その処理を行ったユーザーの権限で任意のコードを実行される可能性という脆弱性がある。開発元はすでに脆弱性を修正したバージョン1.55の配布を行っている。

(@IT 垣内郁栄)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)