圧縮・解凍ソフト「Lhaplus」v1.74が、3日に公開された。本バージョンでは、複数ファイルを同時に解凍すると2つ目以降が正常に解凍されない不具合が修正されたほか、脆弱性への対策が盛り込まれている。

本バージョンで修正された脆弱性は、全部で3件。いずれも「Lhaplus」v1.73以前のバージョンに影響する。

1つ目は「Lhaplus」の解凍処理に起因する問題で、細工が施されたアーカイブを処理すると、本来のファイル内容とは異なるデータが解凍される場合がある。

2つ目は「Lhaplus」で作成した自己解凍書庫の問題で、実行時に意図しないDLLを読み込んでしまう恐れがある。最悪の場合、任意のコードを実行されてしまうため、「Lhaplus」で作成された自己解凍書庫を実行する際は、それが「Lhaplus」v1.74以降で作成されてものかどうかを配布元へ確認した方がよいだろう。

3つ目は「Lhaplus」のインストーラーの問題で、DLL検索パスの問題により意図しないDLLを読み込んでしまう恐れがある。これも任意コードの実行につながる可能性がある。

「Lhaplus」は、数多くのアーカイブ形式に対応したDLL不要の圧縮・解凍ソフト。Windows 95/98/Me/NT 4.0/2000/XP/Server 2003/Vista/7/8/10に対応するフリーソフトで、作者のWebサイトや窓の杜ライブラリからダウンロードできる。