10/10/12 23:55:03 wQP3vlYb0
告知のため貼っとく
「Lhasa」「Lhaplus」に脆弱性、修正版を公開
URLリンク(internet.watch.impress.co.jp)
解凍ソフト「Lhasa」と圧縮・解凍ソフト「Lhaplus」に脆弱性が発見され、
IPAとJPCERT/CCが運営する脆弱性対策情報ポータルサイト「JVN」で情報が公開された。
Lhasaに発見された脆弱性は、圧縮ファイルを展開する際に読み込む実行ファイルの
検索パスの問題により、意図しない実行ファイルを読み込んでしまう可能性があるもの。
Lhasaのバージョン0.19以前に影響がある。
Lhaplusに発見された脆弱性は、圧縮ファイルを展開する際に読み込むDLLの
検索パスの問題により、意図しないDLLを読み込んでしまう可能性があるもの。
Lhaplusのバージョン1.57以前に影響がある。
いずれの脆弱性も悪用された場合、特別に細工された圧縮ファイルを展開した
場合に、任意のコードを実行させられる危険がある。
両ソフトとも、既に脆弱性を修正した最新バージョンが公開されており、
ユーザーに対してアップデートが推奨されている。