「Lhaplus」v 1.73及びそれ以前に意図しないファイルが生成される脆弱性、最新版へ更新を(JVN) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.09.22(土)

「Lhaplus」v 1.73及びそれ以前に意図しないファイルが生成される脆弱性、最新版へ更新を(JVN)

IPAおよびJPCERT/CCは、Schezoが提供するファイルの圧縮・展開を行うWindows向けソフトウェア「Lhaplus」に検証不備の脆弱性が存在すると発表した。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は1月11日、Schezoが提供するファイルの圧縮・展開を行うWindows向けソフトウェア「Lhaplus」に検証不備の脆弱性が存在すると発表した。CVSS v3によるBase Scoreは2.5。株式会社ラックの安藤弘治氏が報告を行った。

「Lhaplus Version 1.73 およびそれ以前」には、ZIP64形式のファイルを展開する際に、展開するファイルの内容を検証しない、検証不備の脆弱性(CVE-2017-2158)が存在する。この脆弱性が悪用されると、ユーザの意図しないファイルが生成される可能性がある。

JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。対策済みの最新バージョンは「1.74」で、Schezoのサイトからダウンロードできる。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

PageTop

特集

アクセスランキング

  1. “衛る” を最大化するセキュリティ競技 Hardening Project ~ 組織力を問う新ルールで初の宮古島開催

    “衛る” を最大化するセキュリティ競技 Hardening Project ~ 組織力を問う新ルールで初の宮古島開催

  2. 仮想通貨を要求する日本語の脅迫メール確認(JPCERT/CC)

    仮想通貨を要求する日本語の脅迫メール確認(JPCERT/CC)

  3. サンドボックスと張り合うメールセキュリティ製品、大企業や金融に導入進む

    サンドボックスと張り合うメールセキュリティ製品、大企業や金融に導入進むPR

  4. サイバーインテリジェンス、サービスの実力と利用料金

    サイバーインテリジェンス、サービスの実力と利用料金

  5. 新宿区がシングルベンダによる多層防御を構築(トレンドマイクロ)

    新宿区がシングルベンダによる多層防御を構築(トレンドマイクロ)

  6. ローソンアプリを使ったdポイントの不正利用が判明、「デジタルdポイントカードサービス」を一時停止に(ローソン)

    ローソンアプリを使ったdポイントの不正利用が判明、「デジタルdポイントカードサービス」を一時停止に(ローソン)

  7. 夢は Black Hat USA で講演 ~ キヤノンITS マルウェアラボ潜入記、設立目的と体制

    夢は Black Hat USA で講演 ~ キヤノンITS マルウェアラボ潜入記、設立目的と体制PR

  8. MyJCBを騙るフィッシングメール、期限を設定も記載はなし(フィッシング対策協議会)

    MyJCBを騙るフィッシングメール、期限を設定も記載はなし(フィッシング対策協議会)

  9. 受信契約者の個人情報が含まれる帳票を紛失(NHK)

    受信契約者の個人情報が含まれる帳票を紛失(NHK)

  10. リスト攻撃と推測される不正ログインでワオンポイントが別のカードに移行される被害(イオンマーケティング)

    リスト攻撃と推測される不正ログインでワオンポイントが別のカードに移行される被害(イオンマーケティング)

ランキングをもっと見る