「Archive Decoder」および「Explzh」に任意のコードを実行される脆弱性（JVN）

製品・サービス・業界動向業界動向

2010.10.21 Thu 16:55

独立行政法人情報処理推進機構セキュリティセンター（IPA/ISEC）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は10月20日、pon softwareが提供する「Archive Decoder」および「Explzh」に実行ファイル読み込みに関する脆弱性が確認されたと「Japan Vulnerability Notes（JVN）」で発表した。両ソフトともに、複数の圧縮ファイル形式に対応した、圧縮ファイルの展開を行うソフトウェア。「Explzh」は、圧縮ファイルの作成にも対応する。

「Archive Decoder Ver.1.23 およびそれ以前」「Explzh Ver.5.67 およびそれ以前」には、圧縮ファイル展開時に実行ファイルを読み込む際のファイル検索パスに問題があり、意図しない実行ファイルを読み込んでしまう脆弱性が存在する。この問題が悪用されると、プログラムを実行している権限で任意のコードを実行される可能性がある。pon softwareではそれぞれ、本脆弱性を解消する最新版を提供しており、該当するユーザは開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

http://jvn.jp/jp/JVN68536660/index.html
http://jvn.jp/jp/JVN85599999/index.html

《ScanNetSecurity》