NEWS(10/10/12 14:50)
定番解凍ソフト「Lhasa」および「Lhaplus」に外部DLLの読み込みに関する脆弱性
それぞれ最新版で修正済み
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(以下、JPCERT/CC)は12日、解凍専用ソフト「Lhasa」および圧縮・解凍ソフト「Lhaplus」に、DLLファイルの読み込みに関する脆弱性が存在すると発表した。
本脆弱性は、解凍用の外部DLLを読み込む際に、その検索パスの指定が不正確であるため、不正な細工を施されたDLLファイルを読み込んでしまう恐れがあるというもの。最悪の場合、ソフトを実行している権限で、任意のコードを実行される可能性がある。
脆弱性を解消するには、最新版「Lhasa」v0.20および「Lhaplus」v1.58へ更新することが必要。現在、作者のWebサイトや窓の杜ライブラリからダウンロードできる。
「Lhasa」
- 【著作権者】
- 竹村 嘉人 氏
- 【対応OS】
- Windows 95/98/Me/NT/2000/XP
- 【ソフト種別】
- フリーソフト
- 【バージョン】
- 0.20(10/10/10)
「Lhaplus」
- 【著作権者】
- Schezo 氏
- 【対応OS】
- Windows 95/98/Me/NT4.0/2000/XP/Server 2003/Vista/7
- 【ソフト種別】
- フリーソフト
- 【バージョン】
- 1.58(10/10/11)