「Explzh」「Archive Decoder」に、実行ファイル読み込みに関する脆弱性


 独立行政法人情報処理推進機構(IPA)セキュリティセンターと一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は20日、脆弱性情報サイト「JVN(Japan Vulnerability Notes)」において、「Explzh」および「Archive Decoder」における実行ファイル読み込みに関する脆弱性について情報を公開した。

 「Explzh」は、複数の圧縮ファイル形式に対応した圧縮・解凍ソフト。「Archive Decoder」は、複数の圧縮ファイル形式に対応した解凍ソフト。いずれも、実行ファイルを読み込む際のファイル検索パスに問題があり、意図しない実行ファイルを読み込んでしまう脆弱性が存在するとしている。

 脆弱性の影響を受けるバージョンは、Explzh 5.67以前と、Archive Decoder 1.23以前。これらソフトの開発者は、Windowsアプリケーションのパスの検索方法を変更し、Windowsフォルダー以外にあるアプリケーションを読み込まないよう対策した、Explzh 5.68、Archive decoder 1.24を公開。これら最新バージョンへのアップデートを呼び掛けている。


関連情報

(永沢 茂)

2010/10/20 17:15