IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび、JPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は11日、圧縮・解凍ソフトウェア「Lhaplus」の旧バージョンに脆弱性が存在すると発表した。脆弱性対策情報ポータル「JVN」(Japan Vulnerability Notes)で詳細が案内されている。

Lhaplusは、Schezo氏による無料の圧縮・解凍ソフトウェア。脆弱性が存在するバージョンは、Lhaplus Version 1.73およびそれ以前のもので、細工されたZIP64形式ファイルを展開すると、意図しないファイルが生成される可能性がある。

これに対処するには、2017年5月に公開された最新バージョンLhaplus Version 1.74への更新が必要となる。旧バージョンの利用者は新バージョンをそのままインストールすることで更新できる。

  • JVNでの掲載情報