複数のメディア、および、作者さんから、Lhaplusに新たな脆弱性が発見されたというリリースがありました。
多くのメディアや作者さん自身のリリースでは、「ZOO形式を解凍するとき」と言う一文が入っています。
「ZOO?なんじゃそれ?」
「そんなファイル形式使わんから関係ない」
ってのは、あまりにも早計。
また、
「ZOOなんて古い形式、誰も使ってないから問題ないだろ」
って思う人がいたら、自分が積んできた、PCに冠するキャリアを見直した方が良い。。。
Lhaplusの脆弱性が「危険だ」と、vanjac自身も判断する理由は、Lhaplusが複数のファイル形式に対応したアーカイバだからです。
また、Lhaplusは、多くのアーカイバがそうであるように、拡張子でファイル形式を判断しているわけではなく、ファイルに含まれている情報で判断しています。
拡張子でファイル形式を判断していたら、拡張子を、たとえば、.zooを.zipに変更したら、「不明なファイル形式」とか何とか言うエラーが出て解凍できません。
これなら、今回の脆弱性は、上に書いたように、ZOO形式が、古く、且つ、レアなファイル形式であるため、あまり問題にはなりません。
//それでも、コンテキストメニュー(右クリック)から[開く]を選べば、開けるはずなので、危険なことは危険
でも、Lhaplusは、zooがzipに書き換えられていても、普通にファイルを解凍します。
なので、何らかのコードが埋め込まれて、且つ、拡張子を書き換えたZOO書庫を流布すれば、対策をとってないLhaplusでは、仕込まれたコードが実行されてしまう、って訳。
なので、JVN iPediaや、それを元にしたIPAのリリースは、特定のファイル形式に依存する問題と書いてません。
これなら、初心者が読んでも、
「おぉ、なんか危なそうなんで、新しいの、落としとこか」
って考えるはず。
さすがですね。
正確であればあるほど、情報は値打ちがあるのは確かですが、全ての面で、それが通用するとは限らない、って言う良い例だと思います。
って事で、今まで、
「ZOOなんて使わん」
と、高を括ってた人も、すぐに、バージョンアップしましょう。
Lahplusの最新バージョンは、公式サイトからダウンロード可能です。
尚、作者さんは、現在、一から、新たなアーカイバを開発しておられる模様。
関連情報
情報処理推進機構:情報セキュリティ:脆弱性対策:「Lhaplus」におけるセキュリティ上の弱点(脆弱性)の注意喚起
Lhaplus におけるバッファオーバーフローの脆弱性
IPA、「Lhaplus」の脆弱性に関する注意喚起