IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび、JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は11日、圧縮・解凍ソフトウェア「Lhaplus」の旧バージョンに脆弱性が存在すると発表した。
脆弱性対策情報ポータル「JVN」(Japan Vulnerability Notes)で詳細が案内されている。
Lhaplusは、Schezo氏による無料の圧縮・解凍ソフトウェア。
脆弱性が存在するバージョンは、Lhaplus Version 1.73およびそれ以前のもので、細工されたZIP64形式ファイルを展開すると、意図しないファイルが生成される可能性がある。
これに対処するには、2017年5月に公開された最新バージョンLhaplus Version 1.74への更新が必要となる。
旧バージョンの利用者は新バージョンをそのままインストールすることで更新できる。
ソース
https://news.mynavi.jp/article/20180111-570438/