PR

 情報処理推進機構(IPA)は、圧縮・解凍用フリーソフト「Lhaplus(ラプラス)」におけるセキュリティ上の弱点(脆弱性)に関する注意喚起を公表した。この脆弱性は、フォティーンフォティ技術研究所の鵜飼裕司氏が指摘したものだという。

 IPAによると、Lhaplusにはファイルの展開処理に問題があり、バッファ・オーバーフローを引き起こす脆弱性が存在する。具体的には、Lhaplus Version 1.54 以前の場合、ARJ 形式のアーカイブを展開するときにバッファ・オーバーフローが発生する可能性があるという。悪意のあるユーザーがARJ アーカイブに意図的に埋め込んだプログラム・コードが実行される恐れがある。これにより、コンピュータ上でユーザーが意図しないプログラムが実行されたり、ファイルの削除、ウイルスやボットなどがインストールされたりする。

 IPAでは、対処済みのLhaplus Version 1.55 以降へのバージョンアップを求めている(脆弱性の詳細とダウンロード先を示したWebサイト)。