情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2015年4月9日、ファイル圧縮・展開ソフト「Lhaplus(ラプラス)」に新たな脆弱性が2件見つかったことを明らかにした。細工が施されたファイルを読み込むだけで、悪質なプログラム(ウイルスなど)を実行される危険性などがある。対策は、最新版「Lhaplus 1.72」へのアップグレード(画面)。 今回明らかにされた脆弱性は2件。1件は、圧縮ファイルの処理に関する脆弱性。細工が施された圧縮ファイルを展開するとバッファオーバーフローが発生し、中に仕込まれた任意のプログラムを実行される恐れがある。 もう1件は、展開するファイル名の処理に起因するディレクトリトラバーサルの脆弱性。名前を細工されたファイルを展開すると、任意のファイルを作成されたり、既存のファイルを上書きされたりする危険性がある。 対策は、最新版
![圧縮ソフト「Lhaplus」に危険な脆弱性、悪質ファイルを読み込むと被害に](https://cdn-ak-scissors.b.st-hatena.com/image/square/7010f66e94355006609ccbd7b167166ce550dff5/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fnews%2F15%2F041001259%2Fph.jpg%3F20220512)