NEWS(10/08/31 14:44)

WindowsのDLLファイル読み込みに関する脆弱性に対応した「LhaForge」v1.5.2が公開

カレントディレクトリからDLLファイルを読み込まない仕様に変更

 多形式対応でDLL自動インストール機能つきの一発解凍・圧縮ソフト「LhaForge」の最新版v1.5.2が、30日に公開された。最新版の主な変更点は、24日に公開された“マイクロソフト セキュリティ アドバイザリ (2269637)”で指摘されているWindowsにおけるDLL読み込みに関する脆弱性への対策を行ったこと。

 同セキュリティ アドバイザリによると同脆弱性は、アプリケーションがDLLファイルを呼び出すパスが不的確であることが原因で、アプリケーションがカレントディレクトリなどから不正な細工を施されたDLLファイルを読み込んでしまう可能性があるというもの。これは“バイナリの植え付け(Binary Planting)”または“DLLのプリロード攻撃(DLL Preloading Attack)”などと呼ばれている。

 「LhaForge」v1.5.2では、カレントディレクトリからDLLファイルを読み込まない仕様に変更することで、同脆弱性に対応した。本ソフトのユーザーは速やかにアップデートを行うことを推奨する。

 本ソフトは、Windows 2000/XP/Vista/7およびXP/Vista/7の64bit版に対応するフリーソフトで、現在作者のWebサイトや窓の杜ライブラリからダウンロードできる。

【著作権者】
Claybird 氏
【対応OS】
Windows 2000/XP/Vista/7/XP x64/Vista x64/7 x64
【ソフト種別】
フリーソフト
【バージョン】
1.5.2(10/08/30)

(長谷川 正太郎)