NEWS(10/06/22 14:24)
「Explzh」にバッファオーバーフローの脆弱性、修正済みのv5.63が公開
LZH書庫ファイルのヘッダー処理に不具合、任意コードの実行を許すおそれ
エクスプローラ風インターフェイスの圧縮・解凍ソフト「Explzh」の最新版v5.63が、22日に公開された。本バージョンでは、LZH形式の書庫ファイルの拡張ヘッダーを処理する際に、特定の条件下でバッファオーバーフローが発生する脆弱性が修正されている。
本脆弱性を悪用して細工されたLZH書庫を処理すると、最悪の場合、任意のコードを実行されるおそれがある。脆弱性対策情報サイトJVNの共通脆弱性評価システム(CVSS)では、深刻度が3段階中2番目に高い“レベルII(警告)”に該当する6.8と判定されており、できるだけ早急なバージョンアップが必要だ。
なお、本脆弱性はLZHのフォーマットそのものに起因するものではなく、あくまでも「Explzh」の内蔵エンジン“Arcext.dll”の不具合に原因がある。そのため、設定で外部ライブラリ“UNLHA32.DLL”を利用する設定にしている場合は、脆弱性の影響を受けないという。
本ソフトは、Windows 98/Me/NT 4.0/2000/XP/Server 2003/Vista/7およびXP/Server 2003/Vista/7の64bit版に対応する寄付歓迎のフリーソフトで、商用または法人利用の際は1,050円(税込み)でライセンスを購入する必要がある。現在、作者のWebサイトや窓の杜ライブラリからダウンロードできる。
- 【著作権者】
- 鬼束 裕之 氏
- 【対応OS】
- Windows 98/Me/NT 4.0/2000/XP/Server 2003/Vista/7/XP x64/Server 2003 x64/Vista x64/7 x64
- 【ソフト種別】
- フリーソフト(個人での非商用利用のみ、寄付歓迎。商用、法人利用は1,050円(税込み))
- 【バージョン】
- 5.63(10/06/22)