圧縮・展開ソフト「Explzh」のLHA書庫ファイル処理に脆弱性、修正版公開

　独立行政法人情報処理推進機構（IPA）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は22日、圧縮・展開ソフト「Explzh for Windows」に見つかったバッファオーバーフローの脆弱性についての情報を「JVN（Japan Vulnerability Notes）」で公表した。

　Explzhは複数の圧縮ファイル形式に対応した圧縮・展開ソフトだが、今回の脆弱性は、LHA書庫ファイルのヘッダー処理に存在。細工を施されたLHA書庫ファイルを処理した際に、任意のコードを実行される可能性があるとしている。

　同ソフトの開発者であるpon softwareによると、Explzhに含まれている「Arcext.dll」のバージョンが2.16.1以前の場合にこの脆弱性の影響を受けるという。同日公開されたExplzhの最新版であるバージョン5.63ではこの問題が修正されており、ユーザーにアップデートを呼び掛けている。