CVE
不明
発見者
JVN#76795694:吉田 英二(Eiji James Yoshida)
※ 他の方の名前もありますが、別々に発見・届出したものになります。
脆弱なソフトウェア
Lhaplusの1.73 以前で作成した自己解凍書庫(Lhaplus Self Extractor)
脆弱性の概要
Lhaplusの1.73以前で作成した自己解凍書庫には、同一ディレクトリに存在する特定のDLLを読み込んでしまう脆弱性が存在します。
想定される影響
自己解凍書庫を実行している権限で、任意のコードを実行される可能性があります。
対策方法
この問題に対処したLhaplus Version 1.74以降で作成した自己解凍書庫を使用してください。
謝辞
ソフトウェア開発者への脆弱性の報告にご協力いただいたIPAおよびJPCERT/CCの方々に感謝いたします。
また、謝辞の掲載をしてくださったソフトウェア開発者に感謝いたします。
タイムライン
届出から公開までの日数: 104(90日以内の公開をお勧めします)
- 2017/01/19 IPAにソフトウエア製品脆弱性関連情報として届出
- 2017/02/10 脆弱性関連情報として受理
- 2017/05/03 ソフトウェア開発者が「Lhaplus 自己解凍書庫における任意の DLL 読み込みの脆弱性」として公開
