国産圧縮ツール「Lhaplus」に脆弱性

2007/09/21

　情報処理推進機構（IPA）は9月21日、国産の圧縮・解凍ツール「Lhaplus」に任意のコードが実行されるバッファオーバーフローの脆弱性があると発表した。脆弱性があるのは「1.54 beta 1およびそれ以前」のバージョン。最新バージョンにアップデートすることで脆弱性はなくなる。国産圧縮ツールではこれまで「Lhaz v1.33」や「+Lhaca」の脆弱性が発見され、ゼロデイ攻撃も起きている。

　IPAによると1.54 beta 1およびそれ以前のバージョンのLhaplusには、細工されたARJ形式のアーカイブの展開処理を行った場合に、その処理を行ったユーザーの権限で任意のコードを実行される可能性という脆弱性がある。開発元はすでに脆弱性を修正したバージョン1.55の配布を行っている。