人気の圧縮解凍ソフト「Lhaplus」に危険な脆弱性が見つかり、作者のSchezo氏は28日、公式サイトで最新版のバージョン1.57を公開した。
公式サイトなどによると、1.56以前のLhaplusにはZOO形式(※1)のファイルの取り扱いに問題があり、コメント長に大きな値が指定されているとバッファオーバーフローが発生。ファイル内に埋め込まれた任意のコードが実行されるおそれがある。
公式サイトでは、問題を修正した最新版1.57のインストーラおよび、インストールされている1.5xのLhaplusを1.57に更新するアップデータを用意し、最新版に更新するよう呼びかけている。
※1)ZOO形式
Rahul Deshi氏が80年代に開発した、圧縮ファイル形式。ファイルの拡張子は「.ZOO」で、現在ではほとんど使われていない。なお、Lhaplusはファイル形式を拡張子ではなくファイルの中身で判断し処理するため、拡張子を「.ZIP」などに偽装したZOOファイルによっても、この脆弱性攻撃を受ける。
(2008/4/30 ネットセキュリティニュース)
■Lhaplus公式サイト
http://www7a.biglobe.ne.jp/~schezo/
【脆弱性情報】
・ZOO 展開時のバッファオーバーフロー(Schezo)
http://www7a.biglobe.ne.jp/~schezo/zoo_vul.html
・[FFRRA-20080428] Lhaplus Zooファイル処理におけるヒープオーバーフロー脆弱性(フォティーンフォティ技術研究所)
http://www.fourteenforty.jp/research/advisory.cgi?FFRRA-20080428
・「Lhaplus」におけるセキュリティ上の弱点(脆弱性)の注意喚起(IPA)
http://www.ipa.go.jp/security/vuln/documents/2008/200804_Lhaplus.html
・JVN#74468481:Lhaplus におけるバッファオーバーフローの脆弱性(JVN)
http://jvn.jp/jp/JVN%2374468481/
・Lhaplus ZOO Archive Processing Buffer Overflow[英文](Secunia)
http://secunia.com/advisories/29972/
・Lhaplus ZOO Archive Handling Client-Side Buffer Overflow[英文](FrSIRT)
http://www.frsirt.com/english/advisories/2008/1369