「Lhasa」「Lhaplus」に脆弱性、修正版を公開

「Lhaplus」の脆弱性概要

　解凍ソフト「Lhasa」と圧縮・解凍ソフト「Lhaplus」に脆弱性が発見され、IPAとJPCERT/CCが運営する脆弱性対策情報ポータルサイト「JVN」で情報が公開された。

　Lhasaに発見された脆弱性は、圧縮ファイルを展開する際に読み込む実行ファイルの検索パスの問題により、意図しない実行ファイルを読み込んでしまう可能性があるもの。Lhasaのバージョン0.19以前に影響がある。

　Lhaplusに発見された脆弱性は、圧縮ファイルを展開する際に読み込むDLLの検索パスの問題により、意図しないDLLを読み込んでしまう可能性があるもの。Lhaplusのバージョン1.57以前に影響がある。

　いずれの脆弱性も悪用された場合、特別に細工された圧縮ファイルを展開した場合に、任意のコードを実行させられる危険がある。

　両ソフトとも、既に脆弱性を修正した最新バージョンが公開されており、ユーザーに対してアップデートが推奨されている。