Symantec Corporationは25日、圧縮・解凍ソフト「+Lhaca」の脆弱性について、同社のセキュリティ情報ブログで明らかにした。脆弱性の内容は、特別な細工が施されたLZHファイルを「+Lhaca」で開くと同ソフトが強制終了したり、任意のコードが実行されるというもの。すでに、本脆弱性を利用してパソコンに悪意のあるプログラムを仕掛けるLZHファイルが発見されているという。26日現在、本脆弱性を修正した「+Lhaca」の新バージョンや、脆弱性の修正パッチは提供されていない。

　同社によると、脆弱性が確認された「+Lhaca」のバージョンはv1.20で、バージョン番号から同ソフトの“デラックス版”であるとみられる。「+Lhaca」にはそのほか、最新バージョンがv0.75の通常版、および最新バージョンがv0.96の“機能拡張版”がそれぞれ別シリーズとして公開されているが、現時点でv1.20以外のバージョンに脆弱性が存在するかどうかは確認されていない。

　なお、窓の杜では本日26日、「+Lhaca」v0.75のライブラリ収録を中断した。脆弱性が修正されるか、または同バージョンには当該の脆弱性が存在しないことが確認されるなどして安全性が確保され次第、収録を再開する予定。

□Symantec Security Response Weblog: Beware of LZH
http://www.symantec.com/enterprise/security_response/weblog/2007/06/beware_of_lzh.html
□+Lhaca
http://park8.wakwak.com/~app/Lhaca/

（中村 友次郎）