人気の圧縮・解凍ソフトに「 Lhaplus 」に脆弱性-最新版「 Lhaplus 」1.15へアップグレードを忘れずに-。
私も愛用圧縮解凍ソフト、「 Lhaplus 」に脆弱性が発見された。
窓の杜 - 【 NEWS 】人気圧縮・解凍ソフト「 Lhaplus 」に脆弱性、すでに最新版v1.55で修正済み から2007年9月24日23時55分に引用脆弱性の内容は、特別な細工が施された ARJ 形式の圧縮ファイルを解凍すると、バッファオーバーフローが発生し、任意のコードを実行されるというもの。
該当するバージョンは v1.54 およびそれ以前。
すでに作者サイトでは、本脆弱性を修正した最新版 v1.55 が公開されており、これに伴い窓の杜ライブラリの「 Lhaplus 」も最新版へ差し替えている。
以下は、公式サイトからの引用。
脆弱性を修正しました。詳細は こちら をご覧ください。
(脆弱性発見者の 鵜飼 裕司 様、ご協力いただいた IPA 、 JPCERT/CC の方々に感謝いたします)# 解凍された二重拡張子のファイルについて、登録した拡張子に対してのみ警告を出すように変更
(設定で、 Version 1.53 の仕様にも変更可)# RAR 形式でアーカイブ内のファイル名が異常に長い場合、正常に解凍できない不具合を修正
# ログウィンドウの見栄えを変更
# メモリマネージャの変更
今回は脆弱性の修正に伴い、解凍された二重拡張子のファイルへ警告を出す変更、RAR形式でアーカイブ内のファイル名が以上に長い場合、正常に解凍できない不具合などが修正されている。
今回、対象となるのは、 v1.54 以前のバージョンの人。
「 Lhaplas 」愛用者は、とりあえじ、バージョンチェックしてみては?
←面白かったらクリックしてね。(同窓表示)
コメント : 
トラックバック : 
新着記事を購読する
