老舗の圧縮・解凍ソフト「Lhaz」「Lhaz+」に脆弱性、修正版が公開

「Lhaz」v2.5.0

「Lhaz+」v3.5.0

　老舗の圧縮・解凍ソフト「Lhaz」v2.5.0および「Lhaz+」v3.5.0が、1日に公開された。本バージョンはそれぞれ2件の脆弱性を修正したセキュリティアップデートとなっているので、更新を怠らないようにしたい。

　「Lhaz」は、書庫ファイルの圧縮・解凍・閲覧・テストを行うシンプルなツール。ファイルの右クリックメニューから簡単に書庫ファイルを操作できるほか、書庫ファイルを解凍せずに内容を閲覧することが可能。外部DLLを導入しなくても、アプリケーション単体で主要な書庫ファイル形式をサポートしているのも魅力だ。さらに「Lhaz+」では、“Google ドライブ”“OneDrive”“Dropbox”といったクラウドストレージを扱うことができる。

　今回のアップデートでは、インストーラーおよび自己解凍書庫ファイルの実行処理における検索パスに問題があり、意図しないDLLを読み込んでしまう脆弱性が修正された。最悪の場合、インターネット越しに任意のDLLを実行される恐れがある。影響するバージョンは「Lhaz」v2.4.0以前および「Lhaz+」v3.4.0以前のすべてのバージョンとなっており、それぞれv2.5.0/v3.5.0へのアップデートが推奨されている。

　そのほかにも本バージョンでは、コンパイラーが「Visual Studio 2017 Community」へ変更された。「unrarsrc」「XZ Utils」「zlib」といったライブラリのアップデートも行われている。また、「Lhaz+」では“OneDrive”を利用するための修正が施された。

　「Lhaz」「Lhaz+」は64bit版を含むWindows XP/Vista/7/8/10に対応するフリーソフトで、現在作者のWebサイトからダウンロードできる。なお、「Lhaz」の動作には「Visual Studio 2017 の Microsoft Visual C++ 再頒布可能パッケージ(x86)」が必要なので注意。「Lhaz+」の動作にはさらに.NET Framework 4が必要となる。