圧縮・解凍ソフト「LHMelt」v2.00が公開、任意のDLL読み込みに関する脆弱性が修正

「LHMelt」v2.00

　圧縮・解凍ソフト「LHMelt」の最新版v2.00が、11日に公開された。Windows 95/98/Me/NT/2000/XP/Vista/7/10などに対応するフリーソフトで、現在作者のWebサイトからダウンロードできる。

　「LHMelt」（LHMelting for Win32）は、「UNLHA32.DLL」の開発などで知られるMicco氏が作成した解凍・圧縮ツール。もともとは解凍・圧縮DLLの動作確認用に開発されたもので、特に凝った機能はないものの、各種DLLに関する設定がきめ細かく行えるのが特徴だ。

　今回のアップデートにおける変更は、「UNLHA32.DLL」v3.00のリリース時に予告されていた脆弱性の修正がメイン。

　まず、「LHMelt」「LMLzh32.DLL」における脆弱性が修正された。これらのプログラムにはDLLを読み込む際の検索パスに問題があり、同一フォルダーに存在するDLLを意図せず読み込んでしまう恐れがあった。最悪の場合、任意のコードを実行されたり、アプリをクラッシュさせられる可能性がある。

　また、「UNLHA32.DLL」で作成された自己解凍書庫における任意のDLL読み込みに関する脆弱性への対応も行われているとのこと。

　そのほかにも、Windows Vista環境で一度も書庫を開いたことのない場合に［書庫ファイルのオープン］ダイアログを開けなくなっていた問題が修正されている。