• ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • 日経BP
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

人気の圧縮ソフト「Lhaplus」にまたもや危険な脆弱性

圧縮ファイルの処理に問題、悪質ファイルを読み込むだけで被害の恐れ

勝村 幸博=日経パソコン 2008/04/28 日経パソコン

 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2008年4月28日、ファイル圧縮・解凍ソフト「Lhaplus(ラプラス)」に新たな脆弱(ぜいじゃく)性が見つかったことを明らかにした。細工が施されたファイルを読み込むだけで、悪質なプログラム(ウイルスなど)を実行される危険性がある。同日公開された最新版「Lhaplus 1.57」では修正済み。

 Lhaplusは、20種類以上のファイル形式を扱える圧縮・解凍ソフト。フリーソフトで、国内で広く使われている。今回報告された脆弱性は、Lhaplusが扱えるファイル形式の一つである「ZOO形式」で圧縮されたファイル処理に関するもの。

 細工が施されたZOO形式の圧縮ファイルを読み込むと「バッファーオーバーフロー」と呼ばれるエラーが発生し、ファイルに仕込まれた悪質なプログラムを勝手に実行される恐れがある(図)。

 Lhaplusには、2007年9月と2007年11月にもバッファーオーバーフローの脆弱性が見つかっているが、今回とは別物。2007年9月はARJ形式ファイル、2007年11月はLZH形式ファイルの処理に関する脆弱性だった。

 Lhaplus開発者の情報によれば、Lhaplusはファイルの内容で圧縮形式(アーカイブ形式)を判断するという。例えば、拡張子がlzhやzipのファイルであっても、中身がZOO形式であればZOO形式として処理するので、今回の脆弱性を突かれる恐れがある。このため開発者のサイトでは、「ZOO形式を(Lhaplusと)関連付けしない、といった手段では対応できません」としている。ファイルの拡張子にかかわらず、今回の脆弱性を悪用される危険性がある。

 今回の脆弱性に対応するには、最新版「Lhaplus 1.57」にバージョンアップする必要がある。Lhaplus 1.57は、開発者のサイトからダウンロード可能。Lhaplus 1.5xをLhaplus 1.57にバージョンアップするためのアップデータも公開している。

 なお、今回の脆弱性を報告したのは、フォティーンフォティ技術研究所の鵜飼裕司氏。2007年9月の脆弱性も、鵜飼氏が報告している。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る