前バージョンで実施された「Lhaz」「Lhaz+」の脆弱性対策に漏れ、修正版が公開

「Lhaz」v2.5.1のインストーラー

　圧縮・解凍ソフト「Lhaz」v2.5.0および「Lhaz+」v3.5.0で実施された脆弱性対策に不備があったことが6日、明らかになった。一部の環境において、DLL読み込みに関する脆弱性が残存しているという。同日付けで修正版の「Lhaz」v2.5.1および「Lhaz+」v3.5.1がリリースされている。

　問題となっている脆弱性は、インストーラーおよび自己解凍書庫ファイルの実行処理における検索パスに問題があり、意図しないDLLを読み込んでしまうというもの。最悪の場合、インターネット越しに任意のDLLを実行される恐れがあるとのこと。

　「Lhaz」「Lhaz+」は64bit版を含むWindows XP/Vista/7/8/10に対応するフリーソフトで、現在作者のWebサイトからダウンロードできる。なお、「Lhaz」の動作には「Visual Studio 2017 の Microsoft Visual C++ 再頒布可能パッケージ」が必要なので注意。「Lhaz+」の動作にはさらに.NET Framework 4が必要となる。