今回の脆弱性の概要(IPAの発表資料から引用)
[画像のクリックで拡大表示]
情報処理推進機構(IPA)などは2007年11月22日、ファイル圧縮・解凍ソフト「Lhaplus(ラプラス)」に新たな脆弱(ぜいじゃく)性が見つかったことを明らかにした。細工が施されたファイルを読み込むだけで、悪質なプログラム(ウイルスなど)を実行される危険性がある。2007年9月に報告された脆弱性とは別物。対策は、最新版へのバージョンアップ。
Lhaplusは、20種類以上のファイル形式を扱える圧縮・解凍ソフト。フリーソフトで、国内で広く使われている。今回報告された脆弱性は、Lhaplusが扱えるファイル形式の一つである「LZH形式」で圧縮されたファイル処理に関するもの。
細工が施されたLZH形式の圧縮ファイルを読み込むと「バッファーオーバーフロー」と呼ばれるエラーが発生し、ファイルに仕込まれた悪質なプログラムを勝手に実行される恐れがある(図)。
Lhaplusには、2007年9月にもバッファーオーバーフローの脆弱性が見つかっているが、それはARJ形式ファイルの処理に関するもので今回の脆弱性とは異なる。
今回の脆弱性が存在するのは、Lhaplusのバージョン1.55以前(1.55を含む)。同日公開された最新版「Lhaplus 1.56」では修正済み。このため、最新版にバージョンアップすることが対策となる。
Lhaplus 1.56のインストーラーや、バージョン1.5x(1.50以降)を1.56へバージョンアップするアップデータは、Lhaplus作者のWebサイトからダウンロードできる。
