「BGA32.DLL」に脆弱性、使用停止を、「QBga32.DLL」では最新バージョンで修正

　独立行政法人情報処理推進機構（IPA）セキュリティセンターと一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は19日、gza/bzaファイルを圧縮・展開するためのライブラリ「BGA32.DLL」とそのラッパーDLLである「QBga32.DLL」の脆弱性情報を公開した。

　BGA32.DLLには、旧バージョンのzlibライブラリおよびbzip2ライブラリの使用に起因するバッファオーバーフローなどの複数の脆弱性があり、細工されたファイルを展開することでDoS攻撃を受けたり、任意のコードを実行されたりする可能性があるという。

　IPAとJPCERT/CCによると、QBga32.DLLもバージョン「0.04」以前でこの脆弱性の影響を受けるが、最新バージョンの「0.05」で修正されているとし、最新バージョンの使用を呼び掛けている。

　一方、BGA32.DLLは開発・配布がすでに終了しているとし、使用を停止するよう呼び掛けている。

　この脆弱性の情報は、2006年5月20日にIPAが届け出を受けていたもので、JPCERT/CCが製品開発者と調整を行ない、今回、公表したという。