人気の圧縮解凍ソフト「Lhaplus」に危険な脆弱性が見つかり、作者のSchezo氏は21日、公式サイトで最新版のバージョン1.55を公開した。
セキュリティベンダーのフォティーンフォティ技術研究所などによると、1.54 beta1 およびそれ以前のバージョンのLhaplusにはARJ形式のファイルの取り扱いに問題があり、ファイル内に長いファイル名が指定されているとバッファオーバーフローが発生。ファイル内に埋め込まれた任意のコードが実行されるおそれがある。
公式サイトでは、問題を修正した最新版1.55のインストーラおよび、インストールされている1.50以降のLhaplusを1.55に更新するアップデータを用意し、最新版に更新するよう呼びかけている。
(2007/09/25 ネットセキュリティニュース)
■Lhaplus公式サイト
http://www7a.biglobe.ne.jp/~schezo/
【脆弱性情報】
・ARJ 展開時のバッファオーバーフロー(Schezo)
http://www7a.biglobe.ne.jp/~schezo/arj_vul.html
・LhaplusのARJファイル処理におけるヒープオーバーフローの脆弱性(フォティーンフォティ技術研究所)
http://www.fourteenforty.jp/research/advisory.cgi?FFRRA-20070921
・Lhaplus におけるバッファオーバーフローの脆弱性(JVN)
http://jvn.jp/jp/JVN%2370734805/
・「Lhaplus」におけるセキュリティ上の弱点(脆弱性)の注意喚起について(IPA)
http://www.ipa.go.jp/security/vuln/200709_Lhaplus.html
・ファイル圧縮・解凍ソフト Lhaplus の脆弱性に関する注意喚起(JPCERT/CC)
http://www.jpcert.or.jp/at/2007/at070020.txt
【関連記事:ネットセキュリティニュース】
・【ゼロデイ攻撃】圧縮解凍ソフト「Lhaz」にコード実行の脆弱性~修正版公開(2007/08/21)
・人気の圧縮解凍ソフト「+Lhaca」の脆弱性狙うトロイの木馬~修正版が公開(2007/06/27)