Internet Watch logo
記事検索
最新ニュース

「Lhaplus」に新たな脆弱性、ZOO形式の展開時にバッファオーバーフロー


 情報処理推進機構セキュリティセンター(IPA/ISEC)とJPCERTコーディネーションセンター(JPCERT/CC)は28日、ファイル圧縮・展開ソフト「Lhaplus」にバッファオーバーフローの脆弱性があることを公表した。バージョン「1.56」以前に影響する。同日公開の最新版「1.57」にアップデートすることで対処できる。

 Lhaplus 1.56以前には、ZOO形式のアーカイブのファイル展開処理においてバッファオーバーフローの脆弱性があり、細工されたファイルを展開処理した場合に、そのユーザーの権限で任意のコードが実行される恐れがあるという。例えば、この脆弱性を突くファイルを、メールの添付ファイルやWeb上からのダウンロードなどで取得し、それを開いた場合、ユーザーの意図しないプログラムをPC上で実行されたり、ファイルの削除や、悪意あるプログラムのインストールが行なわれてしまう可能性がある。

 IPA/ISECとJPCERT/CCによると、この脆弱性のCVSS(共通脆弱性評価システム)基本値は6.8。深刻度は、3段階中で2番目の「レベルII(警告)」(CVSS基本値4.0〜6.9)に該当する。

 なお、Lhaplusについては、2007年9月と11月にも脆弱性が公表されているが、それとは異なるものだという。


関連情報

URL
  ニュースリリース
  http://www.ipa.go.jp/security/vuln/documents/2008/200804_Lhaplus.html
  JVNの脆弱性情報
  http://jvn.jp/jp/JVN%2374468481/index.html
  ベンダーによる脆弱性情報
  http://www7a.biglobe.ne.jp/~schezo/zoo_vul.html

関連記事
「Lhaplus」に危険度の高い脆弱性、最新版へのアップデートを(2007/09/21)
圧縮・展開ソフト「Lhaplus」に脆弱性、最新版にアップデートを(2007/11/22)


( 永沢 茂 )
2008/04/28 16:00

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.