フリーウェアとして提供されているファイルアーカイブソフト「Lhaplus」に、複数の脆弱性が含まれていることがわかった。
修正版が公開されている。
脆弱性情報のポータルサイトであるJVNによれば、同ソフトには任意のコードを実行される脆弱性「CVE-2015-0907」が存在。
悪意あるファイルを展開するとコードを実行されるおそれがある。
また不正にファイルを作成されたり既存ファイルが上書きされるおそれがある「ディレクトリトラバーサル」の脆弱性「CVE-2015-0906」も含まれる。
いずれも影響を受けるのは「同1.59」で、以前のバージョンも含まれる。
脆弱性を解消した最新版「同1.72」が公開されている。
「CVE-2015-0907」は、Masato Kinugawa氏、「CVE-2015-0906」はニコニコ技術部のakira_you氏が発見したもの。
情報処理推進機構(IPA)が報告を受けて、JPCERTコーディネーションセンターが開発者と調整を行ったという。
(Security NEXT - 2015/04/09 )
そーす
【セキュリティ ニュース】人気アーカイバ「Lhaplus」に複数の脆弱性 - 修正版が公開(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/057449
Lhaplus公式
http://hoehoe.com/