「Lhaz」と「Lhaz+」に、任意のコードを実行される複数の脆弱性(JVN) | ScanNetSecurity
2020.02.29(土)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事

「Lhaz」と「Lhaz+」に、任意のコードを実行される複数の脆弱性(JVN)

IPAおよびJPCERT/CCは、ちとらsoftが提供するファイルの圧縮・解凍・閲覧を行うソフトウェア「Lhaz」と「Lhaz+」のインストーラ、およびこれらで作成された自己解凍書庫ファイルに、DLL読み込みに関する脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は7月7日、ちとらsoftが提供するファイルの圧縮・解凍・閲覧を行うソフトウェア「Lhaz」と「Lhaz+」のインストーラ、およびこれらで作成された自己解凍書庫ファイルに、DLL読み込みに関する脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3による最大Base Scoreは7.8。橘総合研究所の英利雅美氏が報告を行った。

影響を受けるシステムは次の通り。

Lhaz バージョン 2.40 およびそれ以前のバージョンのインストーラ(CVE-2017-2246)
Lhaz バージョン 2.40 およびそれ以前を使用して作成された自己解凍書庫ファイル(CVE-2017-2247)
Lhaz+ バージョン 3.4.0 およびそれ以前のバージョンのインストーラ(CVE-2017-2248)
Lhaz+ バージョン 3.4.0 およびそれ以前を使用して作成された自己解凍書庫ファイル(CVE-2017-2249)

これらには、インストーラが意図しないDLLを読み込み実行する脆弱性(CVE-2017-2246、CVE-2017-2248)および、作成された自己解凍書庫ファイルが意図しないDLLを読み込み実行する脆弱性(CVE-2017-2247、CVE-2017-2249)が存在する。この脆弱性により、インストーラや自己解凍書庫ファイルを実行している権限で任意のコードを実行される可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
《吉澤 亨史( Kouji Yoshizawa )》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

リコー製プリンタおよびドライバに複数の脆弱性(JVN) 画像

リコー製プリンタおよびドライバに複数の脆弱性(JVN)
「ZyXEL NAS」に任意のコマンドを実行される脆弱性(JVN) 画像

「ZyXEL NAS」に任意のコマンドを実行される脆弱性(JVN)
「Apache Tomcat」に複数の脆弱性、CVE-2020-1938には注意喚起も(JVN) 画像

「Apache Tomcat」に複数の脆弱性、CVE-2020-1938には注意喚起も(JVN)
2019年Q4フィッシング「緊急あおるパスワード変更依頼」最多(KnowBe4 Japan) 画像

2019年Q4フィッシング「緊急あおるパスワード変更依頼」最多(KnowBe4 Japan)
「TMVP」にDLL Side-Loadingに関する脆弱性(トレンドマイクロ) 画像

「TMVP」にDLL Side-Loadingに関する脆弱性(トレンドマイクロ)
複数の製品にDLLハイジャックの脆弱性(トレンドマイクロ) 画像

複数の製品にDLLハイジャックの脆弱性(トレンドマイクロ)

インシデント・事故 記事一覧へ

大学附属病院でメール誤送信、40代男性医師に懲戒処分(横浜市立大学) 画像

大学附属病院でメール誤送信、40代男性医師に懲戒処分(横浜市立大学)
カード会員向けWebサイトへ不正ログイン、アクセス元の通信は遮断済(トヨタファイナンス) 画像

カード会員向けWebサイトへ不正ログイン、アクセス元の通信は遮断済(トヨタファイナンス)
ネットストアへ不正アクセス、2018年12月から半年分の決済情報流出(恋する豚研究所) 画像

ネットストアへ不正アクセス、2018年12月から半年分の決済情報流出(恋する豚研究所)
「世界のワイン葡萄屋」に不正アクセス、658名分のカード情報が流出(フィオーロ) 画像

「世界のワイン葡萄屋」に不正アクセス、658名分のカード情報が流出(フィオーロ)
不正アクセスで12月からサービス停止「ハッピー・ホテル」、一部機能のみ先行し再開(アルメックス) 画像

不正アクセスで12月からサービス停止「ハッピー・ホテル」、一部機能のみ先行し再開(アルメックス)
USBメモリ紛失も公表日の夜に無事発見(セントラル警備保障) 画像

USBメモリ紛失も公表日の夜に無事発見(セントラル警備保障)

調査・レポート・白書 記事一覧へ

アクセス観測状況、2020年1月期はDoS攻撃被害検知が12%増加(警察庁) 画像

アクセス観測状況、2020年1月期はDoS攻撃被害検知が12%増加(警察庁)
2019年後半、消費税増税に伴うシステム障害29件を含む89件発生(IPA) 画像

2019年後半、消費税増税に伴うシステム障害29件を含む89件発生(IPA)
6割が過去に入手した認証情報で侵入、OTへの攻撃は前年の20倍に(日本IBM) 画像

6割が過去に入手した認証情報で侵入、OTへの攻撃は前年の20倍に(日本IBM)
Webサイトで検知されるスキミング用ファイルが急増(カスペルスキー) 画像

Webサイトで検知されるスキミング用ファイルが急増(カスペルスキー)
Telnetへの攻撃がわずかに増加、引き続きIoT機器を狙う攻撃が顕著(NICT) 画像

Telnetへの攻撃がわずかに増加、引き続きIoT機器を狙う攻撃が顕著(NICT)
不正アクセス原因「設定不備」と並び「不明」もトップ、究明の難しさ反映(IPA) 画像

不正アクセス原因「設定不備」と並び「不明」もトップ、究明の難しさ反映(IPA)

研修・セミナー・カンファレンス 記事一覧へ

Interop Tokyo 2020 開催中止、新型コロナウイルスの影響(ナノオプト・メディア) 画像

Interop Tokyo 2020 開催中止、新型コロナウイルスの影響(ナノオプト・メディア)
米南部文化「ミミズ集め競争」を応用、マルウェア視点の研究成果 画像

米南部文化「ミミズ集め競争」を応用、マルウェア視点の研究成果
安心・安全なインターネット利用に関する2つの講座を無料提供(ドコモgacco) 画像

安心・安全なインターネット利用に関する2つの講座を無料提供(ドコモgacco)
厳格化するサイバー規制とダークウェブ活動、そこに相関は? 画像

厳格化するサイバー規制とダークウェブ活動、そこに相関は?
自販機のキャッシュレス決済の未来、専門セミナーに瀬田氏登壇(fjコンサルティング) 画像

自販機のキャッシュレス決済の未来、専門セミナーに瀬田氏登壇(fjコンサルティング)
さらに高くなったハードルを超えてきた?~ 学生らの素晴らしいポテンシャルが垣間見えた MBSD Cybersecurity Challanges 2019 画像

さらに高くなったハードルを超えてきた?~ 学生らの素晴らしいポテンシャルが垣間見えた MBSD Cybersecurity Challanges 2019

製品・サービス・業界動向 記事一覧へ

「IoTセキュリティチェックシート 第2.1版」発行、アンケート結果も公開(JSSEC) 画像

「IoTセキュリティチェックシート 第2.1版」発行、アンケート結果も公開(JSSEC)
2018年度の国内SIEM市場は57億円、2023年度には103億円規模へ(ITR) 画像

2018年度の国内SIEM市場は57億円、2023年度には103億円規模へ(ITR)
「標的型攻撃耐性診断サービス」を最新の脅威シナリオに強化(マカフィー) 画像

「標的型攻撃耐性診断サービス」を最新の脅威シナリオに強化(マカフィー)
クラウド型WAFがEC-CUBE設定ミスに対応(グレスアベイル、EGセキュアソリューションズ) 画像

クラウド型WAFがEC-CUBE設定ミスに対応(グレスアベイル、EGセキュアソリューションズ)
教育メニューにNRIセキュアの「セキュアEggs」を追加(GSX) 画像

教育メニューにNRIセキュアの「セキュアEggs」を追加(GSX)
SSD対応のデータ消去・物理破壊機と管理ソフト発売(オリエントコンピュータ) 画像

SSD対応のデータ消去・物理破壊機と管理ソフト発売(オリエントコンピュータ)

おしらせ 記事一覧へ

ScanNetSecurity 創刊21周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊21周年御礼の辞(上野宣)
編集部海外取材土産プレゼント 2019 画像

編集部海外取材土産プレゼント 2019
[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ 画像

[鋭意準備中] ScanNetSecurity に夏を告げる紳士を取材しました ~ Black Hat USA 2019 の見どころ
訂正謝罪記事:フェイクインタビュー記事配信について 画像

訂正謝罪記事:フェイクインタビュー記事配信について
毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針 画像

毎月初に配信されている Scan PREMIUM Monthly Executive Summary とは? 執筆者に聞くその内容と執筆方針
[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行 画像

[配信予告] CSIRTの終焉? 平成最後のリスクテイク、桜の名所であの純愛カップルが撮影敢行
Page Top
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×