情報処理推進機構(IPA)とJPCERTコーディネーションセンターは4月9日、ファイル圧縮・展開を行うフリーソフト「Lhaplus」に脆弱性があるとして最新版へのアップデートを呼びかけた。 確認された脆弱性は、展開するファイル名の処理に起因するディレクトリ・トラバーサルの脆弱性と、任意のコードを実行される脆弱性。 ディレクトリ・トラバーサルの脆弱性では、名前を細工されたファイルを展開することで、特定のファイルを作成されたり、既存のファイルを上書きされる恐れがある。もう一方の脆弱性も、細工されたファイルの展開で任意のコードを実行される恐れがある。 影響を受けるバージョンは1.59とそれ以前のバージョンで、現在、最新バージョンでは1.72が公開されている。
![人気ファイル圧縮・展開ソフト「Lhaplus」に脆弱性](https://cdn-ak-scissors.b.st-hatena.com/image/square/2313ecbc79713c7a9185c2d822a06d5f282c8529/height=288;version=1;width=512/https%3A%2F%2Fnews.mynavi.jp%2Ftechplus%2Farticle%2F20150409-a522%2Findex_images%2Findex.jpg)