UNIX系OSで広く使われているアーカイバソフト「gzip(GNU zip)」に複数の脆弱性が見つかった問題で、国産アーカイバソフト「LHA」の開発者の一人である奥村晴彦三重大学教授は22日、LZH形式の解凍に関係する脆弱性が多数のLHA対応ソフトに影響する可能性があることをブログで明らかにした。
当該脆弱性は、gzipの脆弱性の一部として先ごろ公表されたもので、LHAの圧縮形式であるLZHの解凍時にバッファオーバーフローが起こる問題と、無限ループが起こる問題の2件が報告されている。バッファオーバーフローの問題は、悪用されるとコードが実行される恐れがある。
奥村教授によると、gzipに使われている問題のコードは、教授が1989年に書いたLHAの元になったC言語のソースだという。当該ソースコードは広く一般に公開され誰でも自由に利用できるため、当該脆弱性はgzipだけの問題ではなく、WindowsやMac上で動く多くのLHA対応ソフトにも影響を及ぼす可能性がある。
現時点では、LHA対応ソフトに関する具体的な情報は得られていないが、当面の回避策として、信頼できないアーカイブファイル(拡張子「.lzh」)は開かないよう注意したい。
(2006/09/25 ネットセキュリティニュース)
■gzipだけじゃない脆弱性(Okumura's Blog)
http://oku.edu.mie-u.ac.jp/~okumura/blog/node/1047
■JVNVU#596848:gzip の LZH の取扱いにおいて無限ループが引き起こされる脆弱性(JVN)
http://jvn.jp/cert/JVNVU%23596848/index.html
■JVNVU#773548:gzip の LZH の取扱におけるバッファオーバーフローの脆弱性(JVN)
http://jvn.jp/cert/JVNVU%23773548/index.html