【PCソフト】修正したばかりの+Lhacaにまた脆弱性、新たな修正版(Ver.1.23)をリリース [07/01]

このエントリーをはてなブックマークに追加
1ライトスタッフ◎φ ★
このほど脆弱性が指摘され、修正版が公開されたばかりの圧縮・解凍ソフトウェア
「+Lhaca」に新たな脆弱性が発見された。

発見された脆弱性は、スタックバッファオーバーフローを引き起こす可能性があり、
この脆弱性を悪用したLZH圧縮ファイルを処理すると、アプリケーションをクラッシュさせたり、
任意のコード実行が可能になるという。

新たに公開された「+Lhaca Version 1.23」では、LHA展開処理内に存在したstrcpyをstrncpyに
変更し、バッファオーバーフローを発生させないようにした。作者によれば、詳細な動作確認を
終えた後に正式版にするとしている。

◎作者公開ページ
http://park8.wakwak.com/~app/Lhaca/

◎ソース ITmedia
http://www.itmedia.co.jp/news/articles/0707/01/news002.html
2名刺は切らしておりまして:2007/07/01(日) 15:05:06 ID:z/2UMe5w
使ってない
3名刺は切らしておりまして:2007/07/01(日) 15:05:37 ID:TQjl9tBK
いらない子
4名刺は切らしておりまして:2007/07/01(日) 15:06:37 ID:9P86E9GF
過去の子
5名刺は切らしておりまして:2007/07/01(日) 15:07:28 ID:7oCwk2zA
き・・・脆弱性
6名刺は切らしておりまして:2007/07/01(日) 15:07:52 ID:NzxRz5LI
lha+
7名刺は切らしておりまして:2007/07/01(日) 15:10:40 ID:TQjl9tBK
lzh
なファイルは全て無条件に削除するソフトを使っています。
8名刺は切らしておりまして:2007/07/01(日) 15:14:56 ID:T9UBpvzF
WinRAR
9名刺は切らしておりまして:2007/07/01(日) 15:16:42 ID:9/if8CMH
一々立てなくていい
10名刺は切らしておりまして:2007/07/01(日) 15:20:14 ID:0louP/bN
lhazでいいよ
11名刺は切らしておりまして:2007/07/01(日) 15:28:59 ID:k2tJ820S
アッソ デ ナニ
12名刺は切らしておりまして:2007/07/01(日) 15:29:21 ID:GEMsIjNl
lhaplusが一番。
13名刺は切らしておりまして:2007/07/01(日) 15:29:33 ID:H5ScIV+b
すこしはおどろいてやれよ
14名刺は切らしておりまして:2007/07/01(日) 15:42:44 ID:73RH2xs7
はは....
これ,相当定着してるでしょ?
企業さんとか,平気?
15名刺は切らしておりまして:2007/07/01(日) 15:49:23 ID:UpHy9LhD
このツールはもうだめぽ
16名刺は切らしておりまして:2007/07/01(日) 15:52:55 ID:WT5Q7Ix8
lhaplusの方が優秀なので
もういらない
17名刺は切らしておりまして:2007/07/01(日) 15:56:19 ID:d3UVnjE5
strcpy使ってるプログラムは無数にある
18名刺は切らしておりまして:2007/07/01(日) 16:00:11 ID:aK4x1KK9
いくらもらったんだろう
19名刺は切らしておりまして:2007/07/01(日) 16:04:53 ID:Tqg+x2yP
解凍レンジが一番
20名刺は切らしておりまして:2007/07/01(日) 16:14:30 ID:NP7NDqEA
人気のあるソフト、OSが狙われるだけで。
叩けばいくらでもほこりが出る。
21名刺は切らしておりまして:2007/07/01(日) 16:20:23 ID:GhBvLTA1
時代はRarUty
22名刺は切らしておりまして:2007/07/01(日) 16:24:37 ID:uTqJDQY9
Lhaplus
これがあれば何もいらない
23名刺は切らしておりまして:2007/07/01(日) 16:28:22 ID:7bprj3B5
国産万歳lzh形式
24名刺は切らしておりまして:2007/07/01(日) 16:33:01 ID:LJygJCqo
kubotar最強説
25名刺は切らしておりまして:2007/07/01(日) 16:42:12 ID:K/EoCh12
9zでいい。
26名刺は切らしておりまして:2007/07/01(日) 16:45:32 ID:V9T5DtIQ
「Lha」が付くソフトは糞ばかり
27名刺は切らしておりまして:2007/07/01(日) 16:47:47 ID:mFRIxlXH
ソフトは生き物。
当てても当てても見つかる脆弱性。
もしバージョンアップが完全に止まってたらと思うとゾっとする。

…ハッ
28名刺は切らしておりまして:2007/07/01(日) 16:52:46 ID:emDo/JHU
俺はlhaz
29名刺は切らしておりまして:2007/07/01(日) 16:54:38 ID:CWyUq7Sl
ファイラー使ってるから解凍ソフトなんて普段意識したことないな
30名刺は切らしておりまして:2007/07/01(日) 17:00:17 ID:BWSkc2NX
同じく>29 偶にWINRARは使うけど
31名刺は切らしておりまして:2007/07/01(日) 17:07:06 ID:OCnyPatY
DOS版LHA使ってる俺は勝ち組
32名刺は切らしておりまして:2007/07/01(日) 17:11:35 ID:6Eq8jOnJ
WINRAR使ってる
33名刺は切らしておりまして:2007/07/01(日) 17:14:04 ID:YdFCUNXd
まじめな質問です。
Lhaz を使えばいいんじゃないですか?
不具合が少なく、利便性も相対的に高いです。
わたしは昔、+Lhaca を使っていて、Lhaz に乗り換えました。
こちらのほうが使いやすかったです。バグも相対的に少ないです。
34名刺は切らしておりまして:2007/07/01(日) 17:20:03 ID:a2rRqhQ9
スタックバッファオーバーフローについては発覚すれば修正すべきとは思うが、
深刻な脆弱性と騒ぎすぎのもどうかと思う。スタックバッファオーバーフローで実際に任意のコード実行はかなり困難。
35名刺は切らしておりまして:2007/07/01(日) 17:28:13 ID:zrXrJ93+
フリーウェアに多くを望む奴が悪い。不満なら自分で作れ!
36名刺は切らしておりまして:2007/07/01(日) 17:41:13 ID:vOyF2o4G
フリーソフトなら仕方ないな
37名刺は切らしておりまして:2007/07/01(日) 17:44:41 ID:UUoDNatZ
だめだったら別のソフトで対応
と言うか、このスレいらないよー


じゃ、ばいばい。
38名刺は切らしておりまして:2007/07/01(日) 17:49:42 ID:CWpNAjeq
昔はこのソフトつかってたけど今はLhaplus
39名刺は切らしておりまして:2007/07/01(日) 17:50:33 ID:fXDeb6mW
ウィルス作者からすれば解凍ソフトは定番がないから魅力がない
wordとか圧倒的シェアがないとウィルスにならない
40名刺は切らしておりまして:2007/07/01(日) 17:53:12 ID:mAQ9fAQW
有料だとほんとに問題起きないのか?
windows見てると信じられないが。
41名刺は切らしておりまして:2007/07/01(日) 17:59:12 ID:DkW1ywsO
>>38
(*^ー゚)b
42名刺は切らしておりまして:2007/07/01(日) 18:03:17 ID:0cVSSYpf
>>39
gtarとかunzip32.dll あたりを相手にすれば?
43名刺は切らしておりまして:2007/07/01(日) 18:09:00 ID:Pbdiparr
昔なんかのソフトで解凍先を任意に変更できるバグがあったよな
44名刺は切らしておりまして:2007/07/01(日) 18:28:35 ID:FCQwvFjq
Lhasaのおもひで
45名刺は切らしておりまして:2007/07/01(日) 19:02:22 ID:5e1znl3e
WinRARでいいよ。
46名刺は切らしておりまして:2007/07/01(日) 19:16:05 ID:nYm7w4FS
こんな感じか?

void hoge( const char *p_name )
{
char namebuf[1024];

strcpy(namebuf,p_name);

// do hoge

}

...

assertかエラーハンドラを入れろよw
47名刺は切らしておりまして:2007/07/01(日) 20:27:13 ID:kyG4C8Wh
7zipが最強
48名刺は切らしておりまして:2007/07/01(日) 22:01:09 ID:j+bqe829
なんでこんなんがニュースになっとるの?
フリーソフトのエラーなんてめずらしくないしまずは作者にバグ報告でそ
放置してるんなら警告もわかるがバージョンアップしてるみたいじゃん
金とってサポートしてるようなのならともかくなんか悪質な仕掛けとかあんの?

それか昔あったフリーソフト撲滅委員会か?
狙ったようにこの市販アプリが安心!みたいな広告でてくるんだろ
49名刺は切らしておりまして:2007/07/01(日) 23:01:46 ID:ImJsveL1
>>48
>>なんでこんなんがニュースになっとるの?

ニュースにしないと、ほとんどのユーザーが脆弱性を抱えたまま使い続けるから。
50名刺は切らしておりまして:2007/07/01(日) 23:41:29 ID:IzC5IdCi
スィー言語は危険なのでやめれってことでしょうか。
51名刺は切らしておりまして:2007/07/02(月) 00:22:56 ID:Hc5LSDBu
eoの作者どこ逝ったんだーーーー!?
52名刺は切らしておりまして:2007/07/02(月) 07:09:04 ID:H2e9BZJh
そんな俺はNoah
53名刺は切らしておりまして:2007/07/02(月) 11:25:37 ID:mp56F0ZK
>>48
ニュースにしないといけないほどシェアあんだろ。
54名刺は切らしておりまして:2007/07/02(月) 13:06:06 ID:+y30kGhG
ぉ。入替えておいた。
55名刺は切らしておりまして:2007/07/02(月) 13:08:19 ID:qeTTvsIe
おれもlhaz
56名刺は切らしておりまして:2007/07/02(月) 13:25:21 ID:TCW/UZif
lhaz使ってる
lhac(s)aは過去の遺物だろ。
57名刺は切らしておりまして:2007/07/02(月) 13:37:17 ID:NnNMtvjC
未だにRarUty使ってる
58名刺は切らしておりまして:2007/07/02(月) 13:49:08 ID:se7SxD1f
悪いこと言わないからkubotarインストールしてみろ
世界が変わるぞ
59名刺は切らしておりまして:2007/07/02(月) 13:52:29 ID:qqkDrJ++
GUIのやつはあまり使ってないなあ。使うとしても
File Roller だな。いつも使ってるの Linux だから。
60名刺は切らしておりまして:2007/07/02(月) 14:25:29 ID:acWNtRqJ
WinRARしか最近は使わんからイラネーな
初期に使うとしたら、Lhaplusの方がメジャーだし。
ラサ使ってるって近年見てない
61名刺は切らしておりまして:2007/07/02(月) 17:03:48 ID:uu/kOer7
Winrar+Lhaplus+7ziipで安定
知人のPCに入れるならLhaplus。

元々ラサは操作性が気に入らなくて使ってなかった
昔はLhaplusも相当叩かれたがな。
62名刺は切らしておりまして:2007/07/02(月) 17:41:19 ID:p28IMNl0
結局>>46みたいな落ちなのか?
_strcpy自体に脆弱性があるのかと思って焦っちまったぜ。

有名でかつ、バージョンアップを重ねているソフトでも
こんなイージーミスがあるもんだな。俺も気をつけないと。
63名刺は切らしておりまして:2007/07/02(月) 17:43:59 ID:DS+jsAKD
俺はアイコンが気に入ったという理由だけでarchway使ってる。
64名刺は切らしておりまして:2007/07/02(月) 23:23:05 ID:6GjICT+B
昔は俺も世話になったが
今となってはLhaplusと7zipがあれば十分
65名刺は切らしておりまして:2007/07/03(火) 01:30:30 ID:fmcAvRpM
今頃yahooのニュースみて脆弱性があったの知り
ちょうどSecureZIPってのが無料だったのでいれてみた
使い心地はイマイチわからん
66名刺は切らしておりまして:2007/07/03(火) 16:36:56 ID:PJM3V2wo
7-Zip使わない奴ってなんなの?
67名刺は切らしておりまして:2007/07/03(火) 17:36:12 ID:s3R+j3GC
explzhが一番だろ
68名刺は切らしておりまして:2007/07/03(火) 18:24:48 ID:8inh+7Ci
>>48
今回は実際にこの穴を突くらしい LZH ファイルが見つかったから騒いでるんでしょ
http://internet.watch.impress.co.jp/cda/news/2007/06/26/16161.html
69名刺は切らしておりまして:2007/07/03(火) 18:33:49 ID:lJw5J2bV
WinRAR explzh Zeldaを使い分け
70名刺は切らしておりまして:2007/07/03(火) 18:34:51 ID:e19/7KmA
LhaForge厨の俺がきましたよ
71名刺は切らしておりまして:2007/07/07(土) 06:07:33 ID:+dH51Hpf
これさ、Lhazもやばいんじゃないの?
本人の掲示板で作者も言ってるけど

 531  もつ  07/06/27 01:12 ID:8lhVLfr1
   ニュースでlhacaの脆弱性云々という話が出ましたが、
   lhazユーザには特に関係ない話でしょうか??( ・ω・)

 533  ちとら  07/06/27 13:29
   >531
   類似の脆弱性はLhazに存在しうると思います(strcpy使用箇所多数)。
   不審な書庫は取り扱わないのが無難です。脆弱性に関係なくウイルス等が含まれて
   いる場合もありますので。
72名刺は切らしておりまして:2007/07/08(日) 12:36:27 ID:TbXzVy7Y
LhazとLhacaは要注意ソフト
73名刺は切らしておりまして:2007/07/08(日) 14:47:56 ID:3uK2Z30x
>>66
7-zip使うやつって何なの?
74名刺は切らしておりまして:2007/07/09(月) 03:06:22 ID:H/l5ApL/
>>73
拡張子偽装に便利
あと、トーシローは解凍すら出来ない
75名刺は切らしておりまして
>>74
要するに割れものを扱う人向けか