解凍・圧縮ソフト「LhaForge」のインストーラーに脆弱性、任意コードを実行される恐れ

“JVN”の脆弱性レポート（JVN#74554973）

　脆弱性対策情報ポータルサイト“JVN”は27日、解凍・圧縮ソフト「LhaForge」のインストーラーに脆弱性が存在することを明らかにした。DLLを読み込む際の検索パスに問題があり、同一フォルダーに存在するDLLを意図せず読み込んでしまう恐れがあるという。最悪の場合、インストーラーを実行している権限で任意のコードを実行される可能性がある。

　本脆弱性は、「LhaForge」v1.6.5およびそれ以前のバージョンに影響する。JPCERT/CCによる脆弱性の評価は、“CVSS v3”の場合で基本値“7.8”、“CVSS v2”の場合で基本値“6.8”。作者によると、本脆弱性は昨月にリリースされたv1.6.6ですでに修正されている。そのため、最新版のインストーラーを利用していれば問題はない。

　「LhaForge」は、64bit版を含むWindows XP/Vista/7/8/10に対応するフリーソフトで、現在作者のWebサイトや窓の杜ライブラリからダウンロードできる。