ARJ形式書庫ファイルの圧縮・解凍DLL「UNARJ32.DLL」がv2.00に ～脆弱性を修正

「UNARJ32.DLL」の配布ページ

　ARJ形式書庫ファイルを圧縮・解凍するDLL「UNARJ32.DLL」の最新版v2.00が、5日に公開された。「UNARJ32.DLL」v1.10.1.25およびそれ以前のバージョンにはDLLを読み込む際の検索パスに問題があり、同一フォルダーに存在する特定のDLLを誤って読み込んでしまう脆弱性があるため、最新版への更新が必要だ。

　「UNARJ32.DLL」は“統合アーカイバ・プロジェクト”のAPI仕様に準拠したライブラリ。主に他の解凍・圧縮ソフトから呼び出される形でARJ形式の圧縮ファイルを操作するが、旧バージョンにはその際、同一フォルダーに存在する特定のDLLを読み込んでしまう脆弱性が含まれており、最悪の場合、当該アプリケーションを実行しているユーザーの権限で任意のコードを実行されたり、サービス運用妨害（DoS）攻撃を受ける可能性があるという。

　また、「UNARJ32.DLL」の配布に用いられている自己解凍書庫ファイルの脆弱性も修正されている。この自己解凍書庫ファイルの作成には「UNLHA32.DLL」が利用されているが、昨年、任意のDLLを読み込んでしまう脆弱性が公表・修正されていた。