NEWS（10/06/22　14:24）

　エクスプローラ風インターフェイスの圧縮・解凍ソフト「Explzh」の最新版v5.63が、22日に公開された。本バージョンでは、LZH形式の書庫ファイルの拡張ヘッダーを処理する際に、特定の条件下でバッファオーバーフローが発生する脆弱性が修正されている。

　本脆弱性を悪用して細工されたLZH書庫を処理すると、最悪の場合、任意のコードを実行されるおそれがある。脆弱性対策情報サイトJVNの共通脆弱性評価システム（CVSS）では、深刻度が3段階中2番目に高い“レベルII（警告）”に該当する6.8と判定されており、できるだけ早急なバージョンアップが必要だ。

　なお、本脆弱性はLZHのフォーマットそのものに起因するものではなく、あくまでも「Explzh」の内蔵エンジン“Arcext.dll”の不具合に原因がある。そのため、設定で外部ライブラリ“UNLHA32.DLL”を利用する設定にしている場合は、脆弱性の影響を受けないという。

　本ソフトは、Windows 98/Me/NT 4.0/2000/XP/Server 2003/Vista/7およびXP/Server 2003/Vista/7の64bit版に対応する寄付歓迎のフリーソフトで、商用または法人利用の際は1,050円（税込み）でライセンスを購入する必要がある。現在、作者のWebサイトや窓の杜ライブラリからダウンロードできる。