NEWS(10/10/12 14:49)

同じジャンルのソフトを探す(圧縮・解凍・ランタイム)

定番解凍ソフト「Lhasa」および「Lhaplus」に外部DLLの読み込みに関する脆弱性

それぞれ最新版で修正済み

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(以下、JPCERT/CC)は12日、解凍専用ソフト「Lhasa」および圧縮・解凍ソフト「Lhaplus」に、DLLファイルの読み込みに関する脆弱性が存在すると発表した。

 本脆弱性は、解凍用の外部DLLを読み込む際に、その検索パスの指定が不正確であるため、不正な細工を施されたDLLファイルを読み込んでしまう恐れがあるというもの。最悪の場合、ソフトを実行している権限で、任意のコードを実行される可能性がある。

 脆弱性を解消するには、最新版「Lhasa」v0.20および「Lhaplus」v1.58へ更新することが必要。現在、作者のWebサイトや窓の杜ライブラリからダウンロードできる。

「Lhasa」

【著作権者】
竹村 嘉人 氏
【対応OS】
Windows 95/98/Me/NT/2000/XP
【ソフト種別】
フリーソフト
【バージョン】
0.20(10/10/10)

「Lhaplus」

【著作権者】
Schezo 氏
【対応OS】
Windows 95/98/Me/NT4.0/2000/XP/Server 2003/Vista/7
【ソフト種別】
フリーソフト
【バージョン】
1.58(10/10/11)

(柳 英俊)