■ 修正したばかりの+Lhacaにまた脆弱性、新たな修正版をリリース
修正したばかりの+Lhacaにまた脆弱性、新たな修正版をリリース - ITmedia エンタープライズ
このほど脆弱性が指摘され(関連記事)、修正版が公開されたばかり(関連記事)の圧縮・解凍ソフトウェア「+Lhaca」に新たな脆弱性が発見された。
発見された脆弱性は、スタックバッファオーバーフローを引き起こす可能性があり、この脆弱性を悪用したLZH圧縮ファイルを処理すると、アプリケーションをクラッシュさせたり、任意のコード実行が可能になるという。
新たに公開された「+Lhaca Version 1.23」では、LHA展開処理内に存在したstrcatをstrncatに変更し、バッファオーバーフローを発生させないようにした。またテスト用コードが残っていたためにファイルが解凍されないケースがあり、これも修正された。作者によれば、詳細な動作確認を終えた後に正式版にするとしている。
作者様も対応に追われて大変だろうと想像する。
とことんついていきます。
