情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2008年4月28日、ファイル圧縮・解凍ソフト「Lhaplus(ラプラス)」に新たな脆弱(ぜいじゃく)性が見つかったことを明らかにした。細工が施されたファイルを読み込むだけで、悪質なプログラム(ウイルスなど)を実行される危険性がある。同日公開された最新版「Lhaplus 1.57」では修正済み。
Lhaplusは、20種類以上のファイル形式を扱える圧縮・解凍ソフト。フリーソフトで、国内で広く使われている。今回報告された脆弱性は、Lhaplusが扱えるファイル形式の一つである「ZOO形式」で圧縮されたファイル処理に関するもの。
細工が施されたZOO形式の圧縮ファイルを読み込むと「バッファーオーバーフロー」と呼ばれるエラーが発生し、ファイルに仕込まれた悪質なプログラムを勝手に実行される恐れがある(図)。
Lhaplusには、2007年9月と2007年11月にもバッファーオーバーフローの脆弱性が見つかっているが、今回とは別物。2007年9月はARJ形式ファイル、2007年11月はLZH形式ファイルの処理に関する脆弱性だった。
Lhaplus開発者の情報によれば、Lhaplusはファイルの内容で圧縮形式(アーカイブ形式)を判断するという。例えば、拡張子がlzhやzipのファイルであっても、中身がZOO形式であればZOO形式として処理するので、今回の脆弱性を突かれる恐れがある。このため開発者のサイトでは、「ZOO形式を(Lhaplusと)関連付けしない、といった手段では対応できません」としている。ファイルの拡張子にかかわらず、今回の脆弱性を悪用される危険性がある。
今回の脆弱性に対応するには、最新版「Lhaplus 1.57」にバージョンアップする必要がある。Lhaplus 1.57は、開発者のサイトからダウンロード可能。Lhaplus 1.5xをLhaplus 1.57にバージョンアップするためのアップデータも公開している。
なお、今回の脆弱性を報告したのは、フォティーンフォティ技術研究所の鵜飼裕司氏。2007年9月の脆弱性も、鵜飼氏が報告している。
