「Lhaz」と「Lhaz+」に、任意のコードを実行される複数の脆弱性（JVN）

脆弱性と脅威セキュリティホール・脆弱性

2017年7月10日（月） 11時47分

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は7月7日、ちとらsoftが提供するファイルの圧縮・解凍・閲覧を行うソフトウェア「Lhaz」と「Lhaz+」のインストーラ、およびこれらで作成された自己解凍書庫ファイルに、DLL読み込みに関する脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。CVSS v3による最大Base Scoreは7.8。橘総合研究所の英利雅美氏が報告を行った。

影響を受けるシステムは次の通り。

Lhaz バージョン 2.40 およびそれ以前のバージョンのインストーラ（CVE-2017-2246）
Lhaz バージョン 2.40 およびそれ以前を使用して作成された自己解凍書庫ファイル（CVE-2017-2247）
Lhaz+ バージョン 3.4.0 およびそれ以前のバージョンのインストーラ（CVE-2017-2248）
Lhaz+ バージョン 3.4.0 およびそれ以前を使用して作成された自己解凍書庫ファイル（CVE-2017-2249）

これらには、インストーラが意図しないDLLを読み込み実行する脆弱性（CVE-2017-2246、CVE-2017-2248）および、作成された自己解凍書庫ファイルが意図しないDLLを読み込み実行する脆弱性（CVE-2017-2247、CVE-2017-2249）が存在する。この脆弱性により、インストーラや自己解凍書庫ファイルを実行している権限で任意のコードを実行される可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

「Lhaz」と「Lhaz+」に、任意のコードを実行される複数の脆弱性（JVN）

脆弱性と脅威セキュリティホール・脆弱性

関連記事

ソース・関連リンク

Scan PREMIUM 会員限定記事

医療・教育・金融・保険・公共～産業別の個人情報漏えいリスク（The Register）

シリアの病院爆撃、遠隔医療支援時の英国人医師PCから情報窃取か（The Register）

ロシアが世界に仕掛ける「ハイブリッド戦」の鍵となる自称民主主義とサイバー戦闘力

Adobe Flash Player の Primetime SDK における Use-After-Free の脆弱性（Scan Tech Report）

投資家向けにセキュリティ対策状況を開示すべきか、悪用を恐れ開示しないべきか～英上場企業実態（The Register）

暗号を民主化した男～64歳現役ハッカー15の未来予測

カテゴリ別新着記事

関連記事

ソース・関連リンク

Scan PREMIUM 会員限定記事

医療・教育・金融・保険・公共 ～ 産業別の個人情報漏えいリスク（The Register）

シリアの病院爆撃、遠隔医療支援時の英国人医師PCから情報窃取か（The Register）

ロシアが世界に仕掛ける「ハイブリッド戦」の鍵となる自称民主主義とサイバー戦闘力

Adobe Flash Player の Primetime SDK における Use-After-Free の脆弱性（Scan Tech Report）

投資家向けにセキュリティ対策状況を開示すべきか、悪用を恐れ開示しないべきか～英上場企業実態（The Register）

暗号を民主化した男～64歳現役ハッカー15の未来予測

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

「Drupal」の脆弱性を狙う攻撃が急増、注意を呼びかけ（サイバーセキュリティクラウド）

長期休暇における対策を紹介、偽セキュリティソフトなどの相談事例も（IPA）

マインクラフトユーザーを狙ったマルウェア問題への対策を実施(Mojang)

Oracleが複数製品のクリティカルパッチアップデートを公開（JPCERT/CC、IPA）

「不正アクセスで支払い方法を変更された」ソフトバンク騙るフィッシング（フィッシング対策協議会）

「Drupal」の脆弱性を狙うアクセスの増加を確認（警察庁）

インシデント・事故 記事一覧へ

教育情報ネットワークへの不正アクセス、新たに22,613人分が流出の可能性(前橋市)

ホームタウン活動の資料と個人情報を記録したUSBメモリを紛失(水戸ホーリーホック)

1年生40人分の生徒の個人情報確認用紙を紛失(大阪府)

2年生35人分の高校生活支援カードを紛失(大阪府)

豊洲市場都民見学会の当選者宛のメール38名分を誤送信(東京都中央卸売市場)

メール誤送信で49名のメールアドレスが漏えい(下関市)

調査・レポート・白書 記事一覧へ

脅威の発生前の対策を重視する日本、レスポンスへの投資は最下位（ServiceNow）

2017年のDDoS攻撃、ビットコイン投資家増の韓国が標的に（CDNetworks）

子どものスマートフォン利用、16.2％は何らかのトラブルに遭遇(東京都)

WebサーバやCMSの脆弱性を悪用する、送信元を秘匿した攻撃が一時的に増加（ラック）

2017年に盗難・漏えいしたデータ数は前年比89％増加の26億件（ジェムアルト）

Spring Frameworkにおける、リモートOSコマンド実行の脆弱性を検証（NTTデータ先端技術）

研修・セミナー・カンファレンス 記事一覧へ

サイバーインテリジェンス入門～マキナレコード軍司氏講演

初心者向けハッキングハンズオン研修が盛況

エンドポイントへのサイバー攻撃を実体験するハンズオンセミナー開催、ジャパンネット銀行 CSIRT リーダー岩本氏 基調講演

トップとビリで売上3倍差！セキュリティへの取り組みが命運を分けた Hardening 2017 Fes

過去10回の総括、そして未来を見据える「Hardening 2017 Fes」

CASBのダークサイド ～ その誤解と導入後の課題

製品・サービス・業界動向 記事一覧へ

ブロックチェーン技術で改ざんや消失を防ぐ文書管理ソリューション（MKI）

独自の秘密分散技術によりデータを無意味化するエンジンを提供（ZenmuTech）

コネクテッドカーと安全に情報をやり取りするために高セキュリティのITバックエンドを構築(BMWグループ)

UTM内蔵ネットワークストレージの新製品、機密データを守る新機能を搭載（村田機械）

「i-FILTER」と「m-FILTER」をクラウドサービスとして提供（デジタルアーツ）

認証アプライアンスをクラウドサービス化、私物端末の検出にも対応（ソリトン）

おしらせ 記事一覧へ

サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊

[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました

[配信予告] あの方に今年の Black Hat USA 2017 の見どころを聞きました

[配信予告] 新連載「Heart of Darknet - インターネット闇の奥」開始のおしらせ

[配信予告] 新連載「ペネトレーションテスターは見た！」開始のおしらせ

ScanNetSecurity 創刊 18 周年の御礼

医療・教育・金融・保険・公共～産業別の個人情報漏えいリスク（The Register）

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

調査・レポート・白書記事一覧へ

研修・セミナー・カンファレンス記事一覧へ

エンドポイントへのサイバー攻撃を実体験するハンズオンセミナー開催、ジャパンネット銀行 CSIRT リーダー岩本氏基調講演

CASBのダークサイド～その誤解と導入後の課題

製品・サービス・業界動向記事一覧へ

おしらせ記事一覧へ