Lhaz における任意のDLL読み込みの脆弱性
■概要
Lhaz と Lhaz+ のインストーラ、および Lhaz や Lhaz+ で作成された自己解凍書庫ファイルにおける DLL 読み込みに関する脆弱性に対する対策の不足により、一部の環境において、DLL読み込みに関する脆弱性が残存していました。この脆弱性を悪用された場合、悪意ある第三者の攻撃により、Lhaz/Lhaz+が動作しているコンピュータ上で任意のDLLが実行されてしまう危険性があります。この問題の影響を受けるLhaz/Lhaz+のバージョンを以下に示しますので、以下の修正プログラムを適用してください。
■該当製品の確認方法
影響を受ける製品は以下の製品です。
製品名称 Lhaz
該当バージョン 2.5.0以前の全てのバージョン
製品名称 Lhaz+
該当バージョン 3.5.0以前の全てのバージョン
使用しているバージョン番号の確認方法は以下の通りです。
1, Lhaz/Lhaz+を起動し、「ヘルプ」メニューから「バージョン情報」を選択する。
2. 現れたウィンドウの下記の部分が起動しているLhaz/Lhaz+のバージョン番号です。
■脆弱性の説明
Lhaz/Lhaz+のインストーラーには、DLLを読み込む際の検索パスに問題があり、外部の第三者からインターネット越しに任意のDLLを実行される脆弱性が存在します。
Lhaz/Lhaz+は、自己解凍書庫を作成する搭載しています。この自己解凍書庫の解凍ルーチンには、DLLを読み込む際の検索パスに問題があり、外部の第三者からインターネット越しに任意のDLLを実行される脆弱性が存在します。
■脆弱性がもたらす脅威
攻撃が成功すると、悪意のある第三者によってコンピュータを完全に制御されてしまう可能性があります。これにより、悪意のある第三者は、不正プログラムのインストール、データの変更や削除など、システム管理者の権限でコンピュータを任意に操作する可能性があります。
■対策方法
Lhaz バージョン2.5.0 以前の製品を利用されているお客様は、バージョン2.5.1 以降の対策版製品をインストールしてください。
修正プログラムのダウンロード
Lhaz+ バージョン3.5.0 以前の製品を利用されているお客様は、バージョン3.5.1 以降の対策版製品をインストールしてください。
修正プログラムのダウンロード
■回避策
この脆弱性は、Lhaz/Lhaz+のインストーラーに存在しており、Lhaz/Lhaz+インストール時にインストーラーと同じフォルダに他のファイルを置かずにインストールを行うことで、影響を緩和することができます。
この脆弱性は、Lhaz/Lhaz+の自己解凍書庫に存在しているため、自己解凍形式の書庫を取り扱わないことで、影響を緩和することができます。
■関連情報
JVN#21369452 Lhaz と Lhaz+ のインストーラ、および Lhaz や Lhaz+ で作成された自己解凍書庫ファイルにおける DLL 読み込みに関する脆弱性
JVN#07400844 Lhaz における任意のDLL読み込みの脆弱性
■謝辞
匿名の方よりこの問題をご報告いただき、対策を行うことが出来ました。ありがとうございました。
■更新履歴
2017.08.06 この脆弱性情報ページを公開しました。
■連絡先
脆弱性連絡窓口
メール:chitora48@gmail.com