Lhaz と Lhaz+ のインストーラ、および Lhaz や Lhaz+ で作成された自己解凍書庫ファイルにおける DLL 読み込みに関する脆弱性

■概要

Lhazのバージョン2.40以前およびLhaz+のバージョン3.4.0以前に、任意のDLL読み込みの脆弱性が存在することが判明しました。この脆弱性を悪用された場合、悪意ある第三者の攻撃により、Lhaz/Lhaz+が動作しているコンピュータ上で任意のDLLが実行されてしまう危険性があります。この問題の影響を受けるLhaz/Lhaz+のバージョンを以下に示しますので、以下の修正プログラムを適用してください。

■該当製品の確認方法

影響を受ける製品は以下の製品です。

製品名称 Lhaz

該当バージョン 2.4.0以前の全てのバージョン

製品名称 Lhaz+

該当バージョン 3.4.0以前の全てのバージョン

使用しているバージョン番号の確認方法は以下の通りです。

1, Lhaz/Lhaz+を起動し、「ヘルプ」メニューから「バージョン情報」を選択する。

2. 現れたウィンドウの下記の部分が起動しているLhaz/Lhaz+のバージョン番号です。

■脆弱性の説明

Lhaz/Lhaz+のインストーラーには、DLLを読み込む際の検索パスに問題があり、外部の第三者からインターネット越しに任意のDLLを実行される脆弱性が存在します。

Lhaz/Lhaz+は、自己解凍書庫を作成する搭載しています。この自己解凍書庫の解凍ルーチンには、DLLを読み込む際の検索パスに問題があり、外部の第三者からインターネット越しに任意のDLLを実行される脆弱性が存在します。

■脆弱性がもたらす脅威

攻撃が成功すると、悪意のある第三者によってコンピュータを完全に制御されてしまう可能性があります。これにより、悪意のある第三者は、不正プログラムのインストール、データの変更や削除など、システム管理者の権限でコンピュータを任意に操作する可能性があります。

■対策方法

Lhaz バージョン2.4.0 以前の製品を利用されているお客様は、バージョン2.5.0 以降の対策版製品をインストールしてください。

修正プログラムのダウンロード

 Lhaz v2.5.0のダウンロード(32ビット版)

 Lhaz64 v2.5.0のダウンロード(64ビット版)

Lhaz+ バージョン3.4.0 以前の製品を利用されているお客様は、バージョン3.5.0 以降の対策版製品をインストールしてください。

修正プログラムのダウンロード

 Lhaz+ v3.5.0のダウンロード(32ビット版)

 Lhaz+64 v3.5.0のダウンロード(64ビット版)

■回避策

この脆弱性は、Lhaz/Lhaz+のインストーラーに存在しており、Lhaz/Lhaz+インストール時にインストーラーと同じフォルダに他のファイルを置かずにインストールを行うことで、影響を緩和することができます。

この脆弱性は、Lhaz/Lhaz+の自己解凍書庫に存在しているため、自己解凍形式の書庫を取り扱わないことで、影響を緩和することができます。

■関連情報

JVN#21369452 Lhaz と Lhaz+ のインストーラ、および Lhaz や Lhaz+ で作成された自己解凍書庫ファイルにおける DLL 読み込みに関する脆弱性

■謝辞

橘総合研究所の英利雅美氏よりこの問題をご報告いただき、対策を行うことが出来ました。ありがとうございました。

■更新履歴

2017.07.06 JVNの番号集約により情報を本ページに集約しました。

2017.07.01 この脆弱性情報ページを公開しました。

■連絡先

脆弱性連絡窓口

メール:chitora48@gmail.com