CVE
ä¸æ˜Ž
発見者
JVN#76795694:å‰ç”° 英二(Eiji James Yoshida)
※ ä»–ã®æ–¹ã®åå‰ã‚‚ã‚ã‚Šã¾ã™ãŒã€åˆ¥ã€…ã«ç™ºè¦‹ãƒ»å±Šå‡ºã—ãŸã‚‚ã®ã«ãªã‚Šã¾ã™ã€‚
脆弱ãªã‚½ãƒ•ãƒˆã‚¦ã‚§ã‚¢
Lhaplusã®1.73 以å‰ã§ä½œæˆã—ãŸè‡ªå·±è§£å‡æ›¸åº«(Lhaplus Self Extractor)
脆弱性ã®æ¦‚è¦
Lhaplusã®1.73以å‰ã§ä½œæˆã—ãŸè‡ªå·±è§£å‡æ›¸åº«ã«ã¯ã€åŒä¸€ãƒ‡ã‚£ãƒ¬ã‚¯ãƒˆãƒªã«å˜åœ¨ã™ã‚‹ç‰¹å®šã®DLLã‚’èªã¿è¾¼ã‚“ã§ã—ã¾ã†è„†å¼±æ€§ãŒå˜åœ¨ã—ã¾ã™ã€‚
想定ã•ã‚Œã‚‹å½±éŸ¿
自己解å‡æ›¸åº«ã‚’実行ã—ã¦ã„る権é™ã§ã€ä»»æ„ã®ã‚³ãƒ¼ãƒ‰ã‚’実行ã•ã‚Œã‚‹å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚
対ç–方法
ã“ã®å•é¡Œã«å¯¾å‡¦ã—ãŸLhaplus Version 1.74以é™ã§ä½œæˆã—ãŸè‡ªå·±è§£å‡æ›¸åº«ã‚’使用ã—ã¦ãã ã•ã„。
è¬è¾ž
ソフトウェア開発者ã¸ã®è„†å¼±æ€§ã®å ±å‘Šã«ã”å”力ã„ãŸã ã„ãŸIPAãŠã‚ˆã³JPCERT/CCã®æ–¹ã€…ã«æ„Ÿè¬ã„ãŸã—ã¾ã™ã€‚
ã¾ãŸã€è¬è¾žã®æŽ²è¼‰ã‚’ã—ã¦ãã ã•ã£ãŸソフトウェア開発者ã«æ„Ÿè¬ã„ãŸã—ã¾ã™ã€‚
タイムライン
届出ã‹ã‚‰å…¬é–‹ã¾ã§ã®æ—¥æ•°: 104(90日以内ã®å…¬é–‹ã‚’ãŠå‹§ã‚ã—ã¾ã™ï¼‰
- 2017/01/19 IPAã«ソフトウエア製品脆弱性関連情報ã¨ã—ã¦å±Šå‡º
- 2017/02/10 è„†å¼±æ€§é–¢é€£æƒ…å ±ã¨ã—ã¦å—ç†
- 2017/05/03 ソフトウェア開発者ãŒã€ŒLhaplus 自己解凍書庫における任意の DLL 読み込みの脆弱性ã€ã¨ã—ã¦å…¬é–‹
