一応、バージョン・アップしておきました。Lhaplus のバージョン 1.58 です。このソフト、インストールして再起動したら、初期設定画面が出ます。初期設定画面を再度出すためには(これを出すのに悩みました)、Lhaplus を起動します。
「Lhasa」「Lhaplus」に脆弱性、修正版を公開 -INTERNET Watch
解凍ソフト「Lhasa」と圧縮・解凍ソフト「Lhaplus」に脆弱性が発見され、IPAとJPCERT/CCが運営する脆弱性対策情報ポータルサイト「JVN」で情報が公開された。
Lhasaに発見された脆弱性は、圧縮ファイルを展開する際に読み込む実行ファイルの検索パスの問題により、意図しない実行ファイルを読み込んでしまう可能性があるもの。Lhasaのバージョン0.19以前に影響がある。
Lhaplusに発見された脆弱性は、圧縮ファイルを展開する際に読み込むDLLの検索パスの問題により、意図しないDLLを読み込んでしまう可能性があるもの。Lhaplusのバージョン1.57以前に影響がある。
いずれの脆弱性も悪用された場合、特別に細工された圧縮ファイルを展開した場合に、任意のコードを実行させられる危険がある。
両ソフトとも、既に脆弱性を修正した最新バージョンが公開されており、ユーザーに対してアップデートが推奨されている。
私は、このソフトを使っているので、こまめにバージョンアップしています。このソフトのバージョンをどのように調べますか? いろいろ戸惑ったのですが、私は、マイクロソフトの「Windows Defender」を使っているので、コントロールパネルにある「Software Explorers」を使っています。これを使えば一発でバージョンがわかります。
圧縮・展開ソフト「Lhaplus」に脆弱性、最新版にアップデートを
情報処理推進機構(IPA)は22日、ファイル圧縮・展開ソフト「Lhaplus」にバッファオーバーフローの脆弱性が存在すると警告した。
発見された脆弱性は、Lhaplusのバージョン1.55およびそれ以前のバージョンに存在し、LZH形式のファイルを展開する際にバッファオーバーフローが発生する可能性があるというもの。この脆弱性を悪用された場合、悪意のあるLZHファイルをLhaplusで展開しただけで、意図しないプログラムを実行させられる危険がある。
Lhaplusの作者のサイトでは、既にこの問題に対処したLhaplus バージョン1.56を公開しており、ユーザーに対して最新版へのアップデートを呼びかけている。