米McAfee, Inc.は17日、圧縮解凍ソフト「Lhaz」v1.33に脆弱性が存在することを同社のブログにて明らかにした。脆弱性の内容は、特別な細工が施されたZIPファイルを本ソフトのv1.33で解凍すると“トロイの木馬”が仕込まれるというもの。20日現在、作者サイトにおいて本脆弱性に対する修正バージョンおよび関連情報は未公開。

　「Lhaz」は、LZH/ZIP/CAB/RAR/TGZ/TAR/GZ/7-ZIPなど数多くの形式に対応する圧縮解凍ソフト。外部DLLが不要で直感的に操作できるユーザインターフェイスのため、初心者から上級者まで幅広く利用されている。

【21:05追記】
　また本日20時30分頃、作者ページにて本脆弱性を修正したv1.34β1が公開されていることを編集部にて確認した。現在のところ詳細は不明だが、ベータ版となっているためダウンロードする場合は注意しよう。

□ちとらソフト
http://www.chitora.jp/
□Computer Security Research - McAfee Avert Labs Blog
http://www.avertlabs.com/research/blog/index.php/2007/08/17/targeted-zero-day-attack-against-free-tools-lhaz/
□窓の杜 - 圧縮・解凍・ランタイム
http://www.forest.impress.co.jp/lib/arc/

（久保 望）