フリーウェアの圧縮解凍ソフトで人気の高い「+Lhaca(プラスラカ)」の脆弱性を狙うトロイの木馬が見つかった問題で、脆弱性の修正が完全でないとして、作者の村山氏は1日、問題を修正した「+Lhaca1.23」を「+Lhaca」の公式サイトで公開した。
同脆弱性はLZHファイルを展開する際に、スタックベースのバッファオーバーフローが起こるもの。米シマンテックが現地時間6月25日に、同脆弱性を悪用するトロイの木馬について警告した。これを受けて村上氏は同脆弱性の原因となるコピー関数を別のコピー関数に修正。「Version1.21」を公開したが、同種の問題が発生しやすい文字列の連結関数も使用していたため、再度修正し「Version1.22」を公開した。
ところが、「Version1.22」にはテスト用コードが残っており、ファイルが解凍できないケースがあった。今回公開された「Version1.23」はこの問題を修正したもの。現在は公式サイトでのみ配布しているが、詳細な動作確認終了後に当該バージョンを正式版にするとしている。
(2007/07/04 ネットセキュリティニュース)
■Lhaca LZH Archive Processing Buffer Overflow Vulnerability[英文](Secunia)
http://secunia.com/advisories/25797/
■Lhaca LZH Archive Extended Header Size Processing Buffer Overflow Vulnerability[英文](FrSIRT)
http://www.frsirt.com/english/advisories/2007/2399
【関連記事:ネットセキュリティニュース】
・人気の圧縮解凍ソフト「+Lhaca」の脆弱性狙うトロイの木馬~修正版が公開(2007/06/27)