圧縮解凍ツールで知られているLhaplusに脆弱性が発見された。発見された脆弱性は、バッファオーバーフローとよばれる古典的な手法。既にアップデートが公開されているので、新規ダウンロード、または、アップデートすることで無償で対応することができる。
圧縮解凍ソフトが数多くダウンロードされている
圧縮解凍ソフトウエアは、インターネットからダウンロードされるソフトウエアの中で人気が高い(ダウンロード回数が多い)。多くがフリーソフトウエアやシェアウェアであり、知られているソフトウエアであれば、悪意のあるコード、脆弱性は含まれていないと思っていないだろうか。
しかし、過去に幾つもの脆弱性が発見され、バージョンアップが行われており、今回のLhaplusも、その一つに過ぎない。商用ソフトウエアであれば、利用者を保守情報として把握しており、脆弱性が見つかったら、修正プログラム、サービスパック等の脆弱性対処ソフトを教えてくれる。
ところが、圧縮解凍ソフトの場合、利用者を開発者は特定できないし、まして、利用者が再び、ダウンロードするサイトにアクセスする事は稀だ。なぜなら、通常の圧縮解凍処理だけなら問題が生じないからである。だからといって、安全である保証はない!
