圧縮ソフト「Lhaplus」に危険な脆弱性、悪質ファイルを読み込むと被害に情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2015年4月9日、ファイル圧縮・展開ソフト「Lhaplus(ラプラス)」に新たな脆弱性が2件見つかったことを明らかにした。細工が施されたファイルを読み込むだけで、悪質なプログラム(ウイルスなど)を実行される危険性などがある。対策は、最新版「Lhaplus 1.72」へのアップグレード(画面)。 今回明らかにされた脆弱性は2件。1件は、圧縮ファイルの処理に関する脆弱性。細工が施された圧縮ファイルを展開するとバッファオーバーフローが発生し、中に仕込まれた任意のプログラムを実行される恐れがある。 もう1件は、展開するファイル名の処理に起因するディレクトリトラバーサルの脆弱性。名前を細工されたファイルを展開すると、任意のファイルを作成されたり、既存のファイルを上書きされたりする危険性がある。 対策は、最新版
