圧縮・展開ソフト「Explzh」のLHA書庫ファイル処理に脆弱性、修正版公開


 独立行政法人情報処理推進機構(IPA)と一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は22日、圧縮・展開ソフト「Explzh for Windows」に見つかったバッファオーバーフローの脆弱性についての情報を「JVN(Japan Vulnerability Notes)」で公表した。

 Explzhは複数の圧縮ファイル形式に対応した圧縮・展開ソフトだが、今回の脆弱性は、LHA書庫ファイルのヘッダー処理に存在。細工を施されたLHA書庫ファイルを処理した際に、任意のコードを実行される可能性があるとしている。

 同ソフトの開発者であるpon softwareによると、Explzhに含まれている「Arcext.dll」のバージョンが2.16.1以前の場合にこの脆弱性の影響を受けるという。同日公開されたExplzhの最新版であるバージョン5.63ではこの問題が修正されており、ユーザーにアップデートを呼び掛けている。


関連情報


(永沢 茂)

2010/6/22 17:42