ニュース

解凍・圧縮ソフト「LhaForge」のインストーラーに脆弱性、任意コードを実行される恐れ

昨月にリリースされた最新版v1.6.6ですでに修正済み

“JVN”の脆弱性レポート(JVN#74554973)

 脆弱性対策情報ポータルサイト“JVN”は27日、解凍・圧縮ソフト「LhaForge」のインストーラーに脆弱性が存在することを明らかにした。DLLを読み込む際の検索パスに問題があり、同一フォルダーに存在するDLLを意図せず読み込んでしまう恐れがあるという。最悪の場合、インストーラーを実行している権限で任意のコードを実行される可能性がある。

 本脆弱性は、「LhaForge」v1.6.5およびそれ以前のバージョンに影響する。JPCERT/CCによる脆弱性の評価は、“CVSS v3”の場合で基本値“7.8”、“CVSS v2”の場合で基本値“6.8”。作者によると、本脆弱性は昨月にリリースされたv1.6.6ですでに修正されている。そのため、最新版のインストーラーを利用していれば問題はない。

 「LhaForge」は、64bit版を含むWindows XP/Vista/7/8/10に対応するフリーソフトで、現在作者のWebサイトや窓の杜ライブラリからダウンロードできる。