NEWS（10/10/20　15:49）

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERTコーディネーションセンターは20日、圧縮・解凍ソフト「Explzh」および解凍ソフト「Archive decoder」に、実行ファイルの読み込みに関する脆弱性が存在すると発表した。なお、両ソフトともに同脆弱性を修正した最新版が19日に公開されている。

　「Explzh」および「Archive decoder」は、圧縮ファイルを展開する際に特定の実行ファイルを読み込む仕様となっている。本脆弱性は、その実行ファイルを読み込む際の検索パスの指定が不正確であるため、不正な細工を施された実行ファイルを読み込んでしまう恐れがあるというもの。最悪の場合、ソフトを実行している権限で、任意のコードを実行される可能性がある。

　「Explzh」および「Archive decoder」は、Windows 98/Me/2000/Server 2003/XP/Vista/Server 2008/7および64bit版のXP/Server 2003/Vista/Server 2008/7に対応するフリーソフトで、いずれも現在作者のWebサイトや窓の杜ライブラリからダウンロードできる。なお、「Explzh」は寄付歓迎となっているほか、商用または法人利用の際は1,050円（税込み）でライセンスを購入する必要がある。