NEWS(10/08/31 14:43)
WindowsのDLLファイル読み込みに関する脆弱性に対応した「LhaForge」v1.5.2が公開
カレントディレクトリからDLLファイルを読み込まない仕様に変更
多形式対応でDLL自動インストール機能つきの一発解凍・圧縮ソフト「LhaForge」の最新版v1.5.2が、30日に公開された。最新版の主な変更点は、24日に公開された“マイクロソフト セキュリティ アドバイザリ (2269637)”で指摘されているWindowsにおけるDLL読み込みに関する脆弱性への対策を行ったこと。
同セキュリティ アドバイザリによると同脆弱性は、アプリケーションがDLLファイルを呼び出すパスが不的確であることが原因で、アプリケーションがカレントディレクトリなどから不正な細工を施されたDLLファイルを読み込んでしまう可能性があるというもの。これは“バイナリの植え付け(Binary Planting)”または“DLLのプリロード攻撃(DLL Preloading Attack)”などと呼ばれている。
「LhaForge」v1.5.2では、カレントディレクトリからDLLファイルを読み込まない仕様に変更することで、同脆弱性に対応した。本ソフトのユーザーは速やかにアップデートを行うことを推奨する。
本ソフトは、Windows 2000/XP/Vista/7およびXP/Vista/7の64bit版に対応するフリーソフトで、現在作者のWebサイトや窓の杜ライブラリからダウンロードできる。
- 【著作権者】
- Claybird 氏
- 【対応OS】
- Windows 2000/XP/Vista/7/XP x64/Vista x64/7 x64
- 【ソフト種別】
- フリーソフト
- 【バージョン】
- 1.5.2(10/08/30)
- 泥巣
- http://claybird.sakura.ne.jp/
- 窓の杜 - 【NEWS】「Explzh」v5.66が公開、WindowsにおけるDLL読み込みに関する脆弱性へ対応
- http://www.forest.impress.co.jp/docs/news/20100830_390444.html
- 窓の杜 - LhaForge
- http://www.forest.impress.co.jp/lib/arc/archive/archiver/lhaforge.html
- DLLファイルのロード方法に脆弱性、MSがセキュリティアドバイザリを公開(INTERNET Watch)
- http://internet.watch.impress.co.jp/docs/news/20100824_388972.html