情報処理推進機構：プレス発表：記事：「Lhaplus」におけるセキュリティ上の弱点（脆弱性）の注意喚起

HOME >> IPAについて >> 最新情報 >> 記事

プレス発表

「Lhaplus」におけるセキュリティ上の弱点（脆弱性）の注意喚起

2010年10月12日
独立行政法人情報処理推進機構

>> ENGLISH

　IPA（独立行政法人情報処理推進機構、理事長：藤江一正）は、「Lhaplus」におけるセキュリティ上の弱点（脆弱性）の注意喚起を、2010年10月12日に公表しました。

　この脆弱性は、特定のフォルダにある圧縮ファイルを展開した場合に、任意のコードが実行されるというものです。

　悪用されると、コンピュータ上でユーザの意図しないプログラムを実行され、コンピュータが悪意あるユーザによって制御される可能性があります。

　対策方法は「開発者が提供する対策済みバージョンに更新する」ことです。

1．概要

　「Lhaplus」は、圧縮されたデータ元に戻す機能を持つソフトウェアの一つです。「Lhaplus」が対応する圧縮形式には、lzh形式やzip形式があります。「Lhaplus」には、DLL（Dynamic Link Library）というソフトウェアの部品を読み込む際の処理にセキュリティ上の弱点（脆弱性）が存在します。この弱点が悪用されると、「Lhaplus」がインストールされたコンピュータ上で、任意のコードが実行されてしまう可能性があります。

　この弱点は、2007年9月21日、2007年11月22日、および2008年4月28日に注意喚起を行った「『Lhaplus』におけるセキュリティ上の弱点（脆弱性）の注意喚起」とは異なるものです。

下記のサイトから対策済みバージョンを入手して、更新してください。
http://www7a.biglobe.ne.jp/~schezo/dll_vul.html

最新情報は、次のURLを参照下さい。
http://jvndb.jvn.jp/jvndb/JVNDB-2010-000037

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、以下の報告者からIPAが届出を受けJPCERT/CC（一般社団法人JPCERT コーディネーションセンター）が製品開発者と調整を行ない、2010年10月12日に公表したものです。

報告者	：	Hitachi Incident Response Team	（2010年9月6日届出）
		塩月誠人氏	（2010年9月13日届出）

2．脆弱性による影響

　ファイルサーバなどの共有フォルダに誘導されたユーザが、そのフォルダ内の圧縮ファイルを開いた場合に、コンピュータ上でユーザの意図しないプログラムの実行や、ファイルの削除、ウイルスやボットなどの悪意あるツールのインストールが行われてしまう可能性があります。

3．対策方法

対策方法は「開発者が提供する対策済みバージョンに更新する」ことです。

4.本脆弱性の深刻度

(1)評価結果

本脆弱性の深刻度	□ I（注意）	■ II（警告）	□ III（危険）
本脆弱性のCVSS基本値		6.8

(2)CVSS基本値の評価内容

AV：攻撃元区分	□ ローカル	□ 隣接	■ ネットワーク
AC：攻撃条件の複雑さ	□ 高	■ 中	□ 低
Au：攻撃前の認証要否	□ 複数	□ 単一	■ 不要
C：機密性への影響　（情報漏えいの可能性）	□ なし	■ 部分的	□ 全面的
I：完全性への影響　（情報改ざんの可能性）	□ なし	■ 部分的	□ 全面的
A：可用性への影響　（業務停止の可能性）	□ なし	■ 部分的	□ 全面的

注）■：選択した評価結果
AV:AccessVector, AC:AccessComplexity, Au:Authentication,
C:ConfidentialityImpact, I:IntegrityImpact, A:AvailabilityImpact

5.本脆弱性のCWE分類

本脆弱性のCWE分類は、「その他（CWE-Other）」です。

6.参考情報

(1)「情報セキュリティ早期警戒パートナーシップ」について

　ソフトウェア製品及びウェブサイトの脆弱性対策を促進し、コンピュータウイルスやコンピュータ不正アクセス等によって、不特定多数のコンピュータ(パソコン）に対して引き起こされる被害を予防するため、経済産業省の告示に基づき、官民の連携体制「情報セキュリティ早期警戒パートナーシップ」を整備し運用しています（図6-1参照）。

　最新の届出状況は「脆弱性関連情報に関する届出状況（プレスリリース）」を参照下さい。