NEWS （07/11/12　16:30）

　定番の圧縮・解凍用DLL「UNLHA32.DLL」などの作者として知られるMicco氏は10日、同氏が開発している圧縮・解凍用DLL「UNLHA32.DLL」「UNARJ32.DLL」および圧縮・解凍ソフト「LHMelt」に、ヒープオーバーフローの脆弱性が存在することを公表した。また同日、当該の脆弱性を修正した各ソフトの最新版を公開した。

　最新版のバージョンは、「UNLHA32.DLL」がv2.62a、「UNARJ32.DLL」がv1.10a、「LHMelt」が1.61b となっている。いずれもWindows 95/98/Me/NT 3.5/NT 4.0/2000/XP/Server 2003/VistaおよびWindows 3.1用のWin32s環境に対応するフリーソフトで、現在作者のホームページからダウンロードできる。また、「UNLHA32.DLL」「UNARJ32.DLL」は窓の杜ライブラリからもダウンロード可能。

　なお、「UNLHA32.DLL」「UNARJ32.DLL」はほかの圧縮・解凍ソフトに同梱されていたり、圧縮・解凍ソフトのDLL自動インストール機能によりインストールされることがある。圧縮・解凍ソフトを利用しているユーザーは、これらのDLLを自分でインストールした覚えがなくても、ソフトのReadmeやヘルプ、説明書などを参考にインストールの有無やバージョンを確認してほしい。

●脆弱性の影響

　本脆弱性の影響により、「UNLHA32.DLL」「UNARJ32.DLL」では、任意のコードを実行されたり、サービス運用妨害（DoS）攻撃を受けるおそれがある。DoS攻撃については、レジストリ情報などが利用されることにより、「UNLHA32.DLL」「UNARJ32.DLL」以外のアプリケーションも影響を受ける可能性があるという。

　一方「LHMelt」では、本脆弱性の影響により任意のコードを実行されたり、同ソフトが強制終了するおそれがある。また、同ソフトに同梱されている圧縮・解凍用DLL「LMLzh32.DLL」にも同様の脆弱性があり、任意コードの実行や強制終了のおそれがある。「LHMelt」を最新版にバージョンアップすることで、「LMLzh32.DLL」も脆弱性が修正された最新版へ更新される。

・「UNLHA32.DLL」
【著作権者】Micco　氏
【対応OS】Windows 3.1/95/98/Me/NT 3.5/NT 4.0/2000/XP/Server 2003/Vista
【ソフト種別】フリーソフト
【バージョン】2.62a（07/11/10）

・「UNARJ32.DLL」
【著作権者】Micco　氏
【対応OS】Windows 3.1/95/98/Me/NT 3.5/NT 4.0/2000/XP/Server 2003/Vista
【ソフト種別】フリーソフト
【バージョン】1.10a（07/11/10）

・「LHMelt」
【著作権者】Micco　氏
【対応OS】Windows 3.1/95/98/Me/NT 3.5/NT 4.0/2000/XP/Server 2003/Vista
【ソフト種別】フリーソフト
【バージョン】1.61b（07/11/10）

□Micco's Page
http://www2.nsknet.or.jp/~micco/micindex.html
□窓の杜 - UNLHA32.DLL
http://www.forest.impress.co.jp/lib/arc/archive/arcdll/unlha32.html
□窓の杜 - UNARJ32.DLL
http://www.forest.impress.co.jp/lib/arc/archive/arcdll/unarjdll.html

（中村 友次郎）