「Lhaz」と「Lhaz+」に、任意のコードを実行される複数の脆弱性(JVN) | ScanNetSecurity
2022.08.08(月)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事

「Lhaz」と「Lhaz+」に、任意のコードを実行される複数の脆弱性(JVN)

IPAおよびJPCERT/CCは、ちとらsoftが提供するファイルの圧縮・解凍・閲覧を行うソフトウェア「Lhaz」と「Lhaz+」のインストーラ、およびこれらで作成された自己解凍書庫ファイルに、DLL読み込みに関する脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は7月7日、ちとらsoftが提供するファイルの圧縮・解凍・閲覧を行うソフトウェア「Lhaz」と「Lhaz+」のインストーラ、およびこれらで作成された自己解凍書庫ファイルに、DLL読み込みに関する脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3による最大Base Scoreは7.8。橘総合研究所の英利雅美氏が報告を行った。

影響を受けるシステムは次の通り。

Lhaz バージョン 2.40 およびそれ以前のバージョンのインストーラ(CVE-2017-2246)
Lhaz バージョン 2.40 およびそれ以前を使用して作成された自己解凍書庫ファイル(CVE-2017-2247)
Lhaz+ バージョン 3.4.0 およびそれ以前のバージョンのインストーラ(CVE-2017-2248)
Lhaz+ バージョン 3.4.0 およびそれ以前を使用して作成された自己解凍書庫ファイル(CVE-2017-2249)

これらには、インストーラが意図しないDLLを読み込み実行する脆弱性(CVE-2017-2246、CVE-2017-2248)および、作成された自己解凍書庫ファイルが意図しないDLLを読み込み実行する脆弱性(CVE-2017-2247、CVE-2017-2249)が存在する。この脆弱性により、インストーラや自己解凍書庫ファイルを実行している権限で任意のコードを実行される可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

イエラエ CSIRT支援室 第 30 回 Apache Spark OSコマンドインジェクションの脆弱性(CVE-2022-33891)について 画像

イエラエ CSIRT支援室 第 30 回 Apache Spark OSコマンドインジェクションの脆弱性(CVE-2022-33891)について
Unboundの脆弱性情報が公開 画像

Unboundの脆弱性情報が公開
muhttpdにディレクトリトラバーサルの脆弱性 画像

muhttpdにディレクトリトラバーサルの脆弱性
10月3日以降はWebアクセス連携機能が利用できず、ファームウェアアップデートを呼びかけ 画像

10月3日以降はWebアクセス連携機能が利用できず、ファームウェアアップデートを呼びかけ
東大を装った迷惑メールに注意喚起、過去にも同様事例を複数確認 画像

東大を装った迷惑メールに注意喚起、過去にも同様事例を複数確認
「JUSTオンラインアップデート for J-License」が特定のプログラムを起動する際に実行ファイルのパスが引用符で囲まれていない脆弱性 画像

「JUSTオンラインアップデート for J-License」が特定のプログラムを起動する際に実行ファイルのパスが引用符で囲まれていない脆弱性

インシデント・事故 記事一覧へ

「かながわ旅割」事業に参加する旅行事業者宛てのメールを誤送信、193社分のメールアドレスが流出 画像

「かながわ旅割」事業に参加する旅行事業者宛てのメールを誤送信、193社分のメールアドレスが流出
小中学校の校務ネットワークにランサムウェア攻撃 画像

小中学校の校務ネットワークにランサムウェア攻撃
コロナ療養証明書を別患者に誤発送、データベース入力を誤り チェック時も修正されず 画像

コロナ療養証明書を別患者に誤発送、データベース入力を誤り チェック時も修正されず
WDBホールディングスグループのネゾットでも障害発生、メールシステムやファイルサーバにアクセスできない障害 画像

WDBホールディングスグループのネゾットでも障害発生、メールシステムやファイルサーバにアクセスできない障害
WDBホールディングスにランサムウェア攻撃、メールシステムやファイルサーバにアクセスできない障害 画像

WDBホールディングスにランサムウェア攻撃、メールシステムやファイルサーバにアクセスできない障害
プログラムの不具合で別人の口座情報を記載、ダブルチェックでも漏れ 画像

プログラムの不具合で別人の口座情報を記載、ダブルチェックでも漏れ

調査・レポート・白書 記事一覧へ

IT資産の脆弱性管理、「Tenable.io」による自動化について解説 画像

IT資産の脆弱性管理、「Tenable.io」による自動化について解説
現在も 12 %が業務で Internet Explorer を使用 画像

現在も 12 %が業務で Internet Explorer を使用
医療機関向け「Oracle Cloud Infrastructure対応セキュリティ・リファレンス」公開 画像

医療機関向け「Oracle Cloud Infrastructure対応セキュリティ・リファレンス」公開
OT導入組織の78%が3回以上の侵害を経験、生産性に影響する運用停止は半数に至る 画像

OT導入組織の78%が3回以上の侵害を経験、生産性に影響する運用停止は半数に至る
Proofpoint Blog 第15回「サイバー攻撃騒動の 1 年を『The Human Factor 2022 Report』で振り返る」 画像

Proofpoint Blog 第15回「サイバー攻撃騒動の 1 年を『The Human Factor 2022 Report』で振り返る」
2年前受信のメール添付ファイル開封でEDRがウイルス検知 ほか、2022年第2四半期 J-CSIPレポート 画像

2年前受信のメール添付ファイル開封でEDRがウイルス検知 ほか、2022年第2四半期 J-CSIPレポート

研修・セミナー・カンファレンス 記事一覧へ

Security Blue Note 第8回「8ヶ国チームで準優勝した爽快感 ~ ICC 2022 Athens レポート」 画像

Security Blue Note 第8回「8ヶ国チームで準優勝した爽快感 ~ ICC 2022 Athens レポート」
経産省、初心者向け「第5回サイバーセキュリティ・リレー講座」開講 画像

経産省、初心者向け「第5回サイバーセキュリティ・リレー講座」開講
SST、セキュリティ・キャンプ応援のレトルトカレー配布 画像

SST、セキュリティ・キャンプ応援のレトルトカレー配布
「セキュリティ・ミニキャンプ in 山梨 2022」にイエラエ三村聡志氏登壇 画像

「セキュリティ・ミニキャンプ in 山梨 2022」にイエラエ三村聡志氏登壇
TwoFiveとデジサート、なりすましメール対策セミナー開催 ~ DMARCとVMCの導入と運用 画像

TwoFiveとデジサート、なりすましメール対策セミナー開催 ~ DMARCとVMCの導入と運用
CrowdStrike 初の日本人レッドチームクルー登壇、攻撃者視点の AD 侵害解説 画像

CrowdStrike 初の日本人レッドチームクルー登壇、攻撃者視点の AD 侵害解説

製品・サービス・業界動向 記事一覧へ

CrowdStrikeとネットワールドがディストリビューター契約 画像

CrowdStrikeとネットワールドがディストリビューター契約
fjコンサルティングとSST、「PCI DSS v4.0対応アプリケーション開発者向け年次オンライントレーニングコース」提供 画像

fjコンサルティングとSST、「PCI DSS v4.0対応アプリケーション開発者向け年次オンライントレーニングコース」提供
LogStareのSOCの窓 第7回「社内ネットワークで『嵐』が起きた日」 画像

LogStareのSOCの窓 第7回「社内ネットワークで『嵐』が起きた日」
「漫画村」運営者に総額19億円の損害賠償を求め提訴、17作品で19億2,960万2,532円に 画像

「漫画村」運営者に総額19億円の損害賠償を求め提訴、17作品で19億2,960万2,532円に
脆弱性管理自動化サービス「SIDfm VM」の新バージョンリリース、カスタムタグの実装はじめ3点を強化 画像

脆弱性管理自動化サービス「SIDfm VM」の新バージョンリリース、カスタムタグの実装はじめ3点を強化
京都府、中小企業対象に不正アクセス防止やウイルス感染対策等 導入費用補助 画像

京都府、中小企業対象に不正アクセス防止やウイルス感染対策等 導入費用補助

おしらせ 記事一覧へ

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント 画像

【当選確率3倍】2022年 CrowdStrike カレンダープレゼント
創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催 画像

創刊23周年記念イベント「ハッカージャーナリスト誕生譚」オンライン公開インタビュー 11/18 開催
Scan PREMIUM 創刊23周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊23周年記念キャンペーン実施中
ScanNetSecurity 創刊23周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊23周年御礼の辞(上野宣)
セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント 画像

セキュリティ業界最強の「ヤバイTシャツ屋」でも売っていないもの ~ 2021年 CrowdStrike カレンダー読者プレゼント
ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×