「Lhaplus」に再びバッファーオーバーフローの脆弱性 新規バージョンも開発中

このエントリーをはてなブックマークに追加
1 検非違使(東京都)
「Lhaplus」に再びバッファーオーバーフローの脆弱性、修正版のv1.56が公開

 定番圧縮・解凍ソフト「Lhaplus」の作者であるSchezo氏は22日、
同ソフトのv1.55以前にバッファーオーバーフローの脆弱性が存在することを発表し、
脆弱性を修正した最新版v1.56を公開した。現在同氏のホームページや窓の杜ライブラリからダウンロードできる。

 本脆弱性の影響により、LZH形式の圧縮ファイルの解凍時にバッファーオーバーフローが発生し、
圧縮ファイルへ意図的に埋め込まれたコードが実行されるおそれがある。

 なお、本ソフトは9月にも脆弱性対応のためにバージョンアップしていた。
同氏によると、今後現行バージョンの更新は不具合修正にとどめるほか、
1から設計し直した新規バージョンを開発中であるという。

http://www.forest.impress.co.jp/article/2007/11/22/lhaplus156.html
2 おくさま(アラバマ州):2007/11/22(木) 13:17:53 ID:aC6FWSGH0
スクイズって忘れられるの早いよね
3 修験者(アラバマ州):2007/11/22(木) 13:19:12 ID:gjvA2IQA0
+Lhaca厨歓喜
4 ミトコンドリア(東京都):2007/11/22(木) 13:19:16 ID:KbBOqG9J0
Winrarの無料ライセンス版を未だに使ってる俺には関係無いな
5 うどん屋(東京都):2007/11/22(木) 13:21:19 ID:+glzIOI60
VISTAになってもLHUT32。

つーか、Windowsは、統合アーカイバDLLをExploreの
仮想圧縮フォルダで使えるようにしろよ。
6 人気者(神奈川県):2007/11/22(木) 13:22:47 ID:tBFtxyL60
またlzhか
7 職業訓練指導員(京都府):2007/11/22(木) 13:22:50 ID:wtDovVMr0
そろそろウザくなってきたな二度目かよ
誰か他にいい解凍ソフト教えてくれ
軽くてしっかり解凍される物なら何でもいい
正直ビジュアルにはこだわらん

俺が何でラプラス選んだのか、自分でも分からんな
8 とき(アラバマ州):2007/11/22(木) 13:23:58 ID:Y5KpqH700
Lhaideplus 1.56
9 うどん屋(東京都):2007/11/22(木) 13:24:11 ID:+glzIOI60
>>7
LHUT32+CALDX
10 バイト(東京都):2007/11/22(木) 13:24:26 ID:0atTMMG40 BE:676404094-2BP(5340)
lzhスレか
http://rainbow.sakuratan.com/data/img/rainbow60643.jpg
11 氷殺ジェット(アラバマ州):2007/11/22(木) 13:25:11 ID:rCXf45Rr0
Lhaz大勝利
12 トムキャット(ネブラスカ州):2007/11/22(木) 13:25:22 ID:cZUWSfPtO
シェゾ、ヘンタ〜イ!
パスの解析にしか使わないけど
13 北町奉行(大阪府):2007/11/22(木) 13:25:24 ID:pJCMSYU20
またか
14 僧侶(千葉県):2007/11/22(木) 13:25:36 ID:uYJi/qaq0
未だにLhaplusに見切りつけて無い奴ってなんなの?
Lhaforgeこそ新世代のデファクトスタンダードだろ
15 アナウンサー(千葉県):2007/11/22(木) 13:25:55 ID:MSCHspdu0
rarをしっかり解凍出来る様になってくれればどうでもいい
16 みどりのおばさん(茨城県):2007/11/22(木) 13:26:19 ID:aWfROKH40
ラプラス解凍早いしなぁ
17 レースクイーン(関西地方):2007/11/22(木) 13:27:02 ID:V0ax8jmS0
7-zipどうよ
18 男性巡査(東京都):2007/11/22(木) 13:27:32 ID:h0QgzVF+0
バッファーオーバーフローってよく聞くけどなに?
なんかあふれちゃうの?
19 巡査(北海道):2007/11/22(木) 13:28:04 ID:Ds41tEhY0
男は黙ってWinrarのベータに突撃
20 党首(東京都):2007/11/22(木) 13:28:37 ID:1qOg3C7Q0
>>17
そこそこ軽くて使いやすい
ファイルの中身見られるし便利(これはWinRARでもできるけど)
21 二十四の瞳(東京都):2007/11/22(木) 13:28:44 ID:hP/GgLCK0
WinRAR無料祭りのときに乗り換えたわ。
22 留学生(アラバマ州):2007/11/22(木) 13:30:15 ID:AcAY7ZQt0
>>10
リックドムは宇宙戦仕様じゃなかったっけ?
23 ふぐ調理師(千葉県):2007/11/22(木) 13:30:57 ID:NRCoeslR0
>>11
だよな。この前のニュー速でもそれが一番だと結論出てるし
24 自販機荒らし(catv?):2007/11/22(木) 13:31:58 ID:2yl89Mu/0
Tearmailいつ出るんだよ
25 通訳(樺太):2007/11/22(木) 13:32:57 ID:12PY7CQ1O
解凍ソフトなんでどれも同じでしょ
26 僧侶(北海道):2007/11/22(木) 13:33:28 ID:HC65detz0
>>14
逆に脆弱性発見されてもきちんと更新してるから見切られないんだろう

WinRAR
Explzh
Noah
Lhaplus
+Lacha
Lhaz
7-zip

この辺試したけどWinRARとEzplzhで事足りるな
27 2ch中毒(アラバマ州):2007/11/22(木) 13:34:22 ID:H/8Krmzk0
WinRARと7-zipがあれば乗り切れる
28 西洋人形(長崎県):2007/11/22(木) 13:34:57 ID:9vUZ7+Ga0
Lhaplusの圧縮ファイルのアイコンデザインがカッコイイから
アイコンだけこれのやつに変えてる
29 団体役員(兵庫県):2007/11/22(木) 13:35:00 ID:vEbIE+Ek0
>>26
本来有料のものをタダ使いする神経は理解出来ません。
30 電力会社勤務(catv?):2007/11/22(木) 13:35:11 ID:ubDM3JM20
これが解凍出来ないソフト使ってる奴わら太w
ttp://vamp.s9.xrea.com/updata2/2823.zip
31 北町奉行(大阪府):2007/11/22(木) 13:35:57 ID:pJCMSYU20
>>30
普通にできるじゃん
32 憲法改正反対派(兵庫県):2007/11/22(木) 13:36:15 ID:zqQHIFOm0
>>30
これはどんな罠ですか
33 2ch中毒(アラバマ州):2007/11/22(木) 13:36:35 ID:H/8Krmzk0
>>30
それが解凍できないソフト教えて
34 くじら(愛知県):2007/11/22(木) 13:37:00 ID:I0j9fHTt0
>>30
なんかこえーよ
35 歯科技工士(アラバマ州):2007/11/22(木) 13:40:37 ID:Bb29kq/N0
RARの謎の文字列下さい
36 講師(岐阜県):2007/11/22(木) 13:40:50 ID:VQQlqYwy0
Lhazは容量少なくて色々解凍できるから使ってるけど
解凍した圧縮ファイルを自動的に消す機能ってないのかな
37 レースクイーン(関西地方):2007/11/22(木) 13:41:33 ID:V0ax8jmS0
>>30
それくらい余裕で解凍できるよ。
俺童貞だけど
38 チーマー(ネブラスカ州):2007/11/22(木) 13:43:00 ID:TJdwYBYQO
>>30解凍したら携帯で書き込むことになったんだが
39 社民党工作員(catv?):2007/11/22(木) 13:44:01 ID:Ey7TCNc50
>>37
童貞なのにたいしたもんだ
40 うどん屋(東京都):2007/11/22(木) 13:46:36 ID:+glzIOI60
>>37
その調子で彼女の心もメロメロに解凍しちゃいなよ。
メロメロMELTって感じでさ
41 バンドメンバー募集中(神奈川県):2007/11/22(木) 13:48:01 ID:RYco7TSm0 BE:419395474-2BP(7014)
Lhazが一番
42 ネットカフェ難民(東京都):2007/11/22(木) 13:49:01 ID:bAkkofzf0
Lhaplusで十分。
というか、(俺の使い方・知識的に)これが限界。
43 会社員(福岡県):2007/11/22(木) 13:49:37 ID:j2Yc5IZv0
>>7
あふ
軽くて尚且つ超低機能です。
44 ブロガー(コネチカット州):2007/11/22(木) 13:58:30 ID:0t9GXIBlO
ラプリュまたかよ
もうラズに変えてやる
45 留学生(北海道):2007/11/22(木) 13:58:42 ID:PKXOU24N0
「Microsoft 圧縮 (LZH 形式) フォルダ」で間に合ってる
46 留学生(新潟県):2007/11/22(木) 13:59:59 ID:tpSp7rGy0
いい加減アイコンだけ抜いて別のに乗り換えたい
47 オカマ(アラバマ州):2007/11/22(木) 14:01:09 ID:sxmr1UbE0
何で名前にlhaばかり付くの?
48 うどん屋(東京都):2007/11/22(木) 14:01:37 ID:+glzIOI60
>>45
自由に解凍DLL入れて対応フォーマット広げられる仕組みになっている
はずなのに、それを公開しないMSはケチだと思う。

Explorerの中の仕組みだから、DLLがバグったらOSがフリーズする、
というリスクはあるけどさ。
49 理系(愛知県):2007/11/22(木) 14:01:42 ID:NGlX2BJR0
>>47
バカだから
50 動物愛護団体(静岡県):2007/11/22(木) 14:04:00 ID:u4R0mhE+0
ラプラスのアイコンがカッコいいというより他がセンス無さ杉

51 スパイ(千葉県):2007/11/22(木) 14:04:44 ID:OFACuOLc0
金も払ってないのに偉そうだな
52 巡査(北海道):2007/11/22(木) 14:04:57 ID:Ds41tEhY0
winrarなんざアイコンどれもコレも同じで逆に清清しい。
53 トムキャット(ネブラスカ州):2007/11/22(木) 14:07:31 ID:cZUWSfPtO
圧縮アイコンはflexchipが孤高
54 空気コテ(埼玉県):2007/11/22(木) 14:09:33 ID:XhuDtHFi0
広告業のパイが大きいのは理解できるけど
ウェブ広告ってそんなに収益が上がるものなの?
55 軍事評論家(新潟県):2007/11/22(木) 14:11:43 ID:Yd6dXrcJ0
WINRARになんの不満があるというの?
56 インストラクター(神奈川県):2007/11/22(木) 14:12:21 ID:ifq5c6em0 BE:155717273-2BP(4072)
lhazが最高
57 デパガ(茨城県):2007/11/22(木) 14:13:38 ID:XVfctNfZ0
>>55
WINRARは有料でしょ。
58 プロガー(神奈川県):2007/11/22(木) 14:13:45 ID:+sqT8WWQ0
あ、1.55だった
59 うどん屋(東京都):2007/11/22(木) 14:14:19 ID:+glzIOI60
>>54
ITは期待感で金を集める。

あと、どんなショボい広告でも仕組みさえ作っちゃえば、
出す機会は無限大でしょ。コピーだから。
60 作家(愛媛県):2007/11/22(木) 14:19:12 ID:S4Sb0AwI0
1.53だったぜ
61 バンドメンバー募集中(チリ):2007/11/22(木) 14:23:42 ID:jHVbxfiU0
昔フリー漁りしてた時Lhaplusが一番そつなく何でもこなせた、今も不満は無い
最近は知らんがもう新しいの探す興味も気力も無いしな
すぐ対応してくれる限りは使う
62 ダンサー(神奈川県):2007/11/22(木) 14:26:18 ID:V+QRCqzG0
使い分け WinRAR、Lhaplus
統合 Lhaforge
簡単 Lhaz

別用途アーカイバ Universal Extractor
63 前社長(関西地方):2007/11/22(木) 14:26:38 ID:fNF6YDho0
   _____
  /   |
 /_________|
 | __  __ |  / ̄ ̄ ̄ ̄ ̄ ̄ ̄
 | ◆フ◆ | < 俺が最強だろカス共
 |  ノ   |   \_______
  | ─ /
  |_____/
64 数学者(アラバマ州):2007/11/22(木) 14:28:06 ID:NDpoxhbV0
Lhaplusと7-zipつこてる
65 プロ棋士(青森県):2007/11/22(木) 14:28:40 ID:sr42iNYm0
ギリギリまでためた新技が超人十字架落としだったときは萎えた。
そこは打撃技だろお前
66 動物愛護団体(山口県):2007/11/22(木) 14:30:25 ID:0qgQY6IX0
メインじゃfile roller使ってる
サブの窓機じゃnoah/winrar

noahはデフォルトをctrlクリックしながら解凍したときの動作に出来るようにして欲しいな
67 彼女居ない暦(東京都):2007/11/22(木) 14:34:10 ID:adneGtAV0
昨日久しぶりにスキャンしたら、zipの中にキンタマがあったな。
なんかのスレでだいぶ前に落としたやつだ。
68 タリバン(福島県):2007/11/22(木) 14:34:31 ID:KvQQwiT00
人気があるフリーソフトの開発者ってのは得てして対応が良いよな。
69 プロ棋士(青森県):2007/11/22(木) 14:36:11 ID:sr42iNYm0
もし、新技が飛んできた十字架に押しつぶされたことすら伺わせる胡散臭い投げ技ではなく
バッファオーバーブローとかいう猛牛の爆発力を思わせるダイビングエルボーだったら
マンモスマンとの戦いで受けたコンプレックスを払拭し、世紀のバトルになったのに、
と思わずには居られない。
70 タレント(長崎県):2007/11/22(木) 14:36:15 ID:I5sVfT5k0
意思の勝利(Triumph des Willens) 完全版
http://www.nicovideo.jp/watch/sm1584250
71 社会保険庁入力係[バイト](catv?):2007/11/22(木) 14:38:36 ID:grzsz0+V0
>>63
お前にはひとかたならぬ恨みがある
72 一反木綿(京都府):2007/11/22(木) 14:39:02 ID:L+6yKXS90
>>18
バケツにこれ以上水が入らないのに、いたずらでさらに水を入れて溢れさせてえらい事になるという意味。
73 彼女居ない暦(東京都):2007/11/22(木) 14:39:12 ID:adneGtAV0
>>70
レニ・リーフェンシュタールの傑作か
74 山伏(コネチカット州):2007/11/22(木) 14:44:15 ID:vuOMUBThO
>>18
だめっ・・・!おにぃちゃん・・・・!!らめぇ・・!!!!今度は俺の番だぞうヘヘヘ(#´ν`#)
75 元原発勤務(アラバマ州):2007/11/22(木) 14:44:57 ID:H8TyFELN0
メインは右クリでのWinRAR
不完全zip解凍用にLhaplus使ってる
LhaForgeにちょっと興味あるが未導入
76 うどん屋(東京都):2007/11/22(木) 14:51:46 ID:+glzIOI60
>>18
コンピュータのメモリは、実行プログラムとそれが使うデータ領域が
それぞれが使うべきときに確保し、使わなくなったら開放するように
なっている。

[データ][プログラム][データ][データ]という並びもあるわけ。
      ~~

例えば最初のデータの並びが20文字分しか確保していないときに、
バッファオーバーフローの危険性があるプログラムが21文字受け
取ると、データの量をチェックしないまま、21文字をそこに上書きし
てしまう。そうすると、プログラムの領域の最初の一文字分が書き
換えられてしまう。(波線のところ)

そこに、xxってプログラムを実行できるようにしろ、なんて命令が埋
めこまれていたら、侵入者が好きなプログラムを勝手に実行させる
ことができてしまう。
77 電力会社勤務(catv?):2007/11/22(木) 14:57:24 ID:ubDM3JM20
ネタバレ; >>30はlhaca+では解凍出来ない。
78 グライムズ(広島県):2007/11/22(木) 15:00:14 ID:OW79C8Yt0
またかよ。
まぁ、一瞬でアップデート出来るからいいけど。
79 職業訓練指導員(京都府):2007/11/22(木) 15:04:47 ID:wtDovVMr0
ググレば分かるのに自分で調べられない>>76に反応してあげる優しい人も居るんだな
80 麻薬検査官(関東地方):2007/11/22(木) 15:08:35 ID:8jyD3jku0
オーバーフローとか典型的な脆弱性の原因なのになんでこうもしょっちゅう起こるんだぜ?テストしてないの?
81 うどん屋(東京都):2007/11/22(木) 15:13:50 ID:+glzIOI60
>>80
C言語は、自由にメモリを編集できる。自分が動いているプログラムコードすら
上書きできてしまう。しかしながら、C言語は、コンパイラを通してコーディング
するため、実際のメモリ上で、不正な扱いがあることをプログラム上から見え
づらい。

という開発ツールの特性の問題がまずある。

また、C言語は、OSとアプリ開発の事実上のデファクトスタンダードになっている。
また、他の言語のコンパイラすら、C言語で記述されている。

もちろん、バッファオーバーフロー対策を行なった開発ツールもあるにはあるが、
100%の解決は無理と言われている。また、自由にメモリを扱うことができないよう
にするためのツールもあるが、これを導入すると、ちょっとした動作全てのチェック
が入るため、実行速度が大幅に低下してしまうという欠点もある。

また、バッファオーバーフローは、自動でメモリを割り当てる処理系では、結果論
でしかないため、テスト段階で確認することはかなり難しい。

なので、見つけるのが難しいといわれているよ。
82 グライムズ(広島県):2007/11/22(木) 15:14:03 ID:OW79C8Yt0
脊髄反射でアップデートしたけど、ここ最近lzhの圧縮ファイルなんてお目に掛かってないな。
83 俳優(静岡県):2007/11/22(木) 15:16:03 ID:5eUVC2m90
またきじゃくせい(←なぜか変換できない)発見か
84 通訳(catv?):2007/11/22(木) 15:23:04 ID:7X0pjIU50
lhaplusのZIPアイコンが好きだから変えたくない
85 公明党工作員(東京都):2007/11/22(木) 15:24:02 ID:KhXKI9wa0
Lhaplus バージョン Hyde
86 職業訓練指導員(神奈川県):2007/11/22(木) 15:39:34 ID:sMweOxDU0
1.53だった
87 工学部(東京都):2007/11/22(木) 16:52:17 ID:vcG7LTdm0
アップデート一瞬で終わってワロタw
88 牧師(福岡県):2007/11/22(木) 16:55:11 ID:5NO2LWjS0
WINRARが優秀すぎて他のソフトを使う気にならない
89 偏屈男(樺太):2007/11/22(木) 16:57:46 ID:ijBYe2KjO
LZHって一気に廃れたなぁ……
90 名無しさん@(神奈川県):2007/11/22(木) 16:58:39 ID:BLB82ENB0
さすがにガンダムUCスレにはならないな
91 二十四の瞳(東京都):2007/11/22(木) 17:11:21 ID:hP/GgLCK0
>>76
実行可能な領域ってOSが保護とかしないのか
92 通訳(関西地方):2007/11/22(木) 17:36:03 ID:cBkrMctq0
お、スクールデイズいつのまに新作だしたの?
バグは多いのはいつものことだが、きょじゃく性はいかんよ。
93 会社員(大阪府):2007/11/22(木) 17:41:47 ID:oO82nYAo0
LHAZ最強ってことで
94 フート(アラバマ州):2007/11/22(木) 17:49:18 ID:P7WN3db40
らるち〜であと5年は戦える
95 シェフ(岐阜県):2007/11/22(木) 17:49:41 ID:3LarejgZ0
また「きじゃくせい」スレか
96 光圀(catv?):2007/11/22(木) 17:50:21 ID:XgTBnfAH0
今時WinRAR使ってないとか
97 社会科教諭(岐阜県):2007/11/22(木) 17:50:26 ID:W3JRIEM40
>>10
トローペンだろ
98 トムキャット(ネブラスカ州):2007/11/22(木) 18:00:22 ID:cZUWSfPtO
呪い
99 うどん屋(東京都):2007/11/22(木) 18:10:05 ID:+glzIOI60
>>91
実行コードごとにアドレスチェックすると、全てのアプリが、
自力で確保しているアドレスを自己申告しなきゃいけなくなる。

完全にそれを行なうことは非現実的、という状況。
100 経営学科卒(中部地方):2007/11/22(木) 18:10:38 ID:1tYNyp8M0
ExplzhとLhaForgeの2強だろ
次点でWinRAR
101 予備校講師(沖縄県):2007/11/22(木) 18:12:49 ID:OFHUpfKb0
あの・・・7z対応・・・・・・
102 数学者(富山県):2007/11/22(木) 19:30:01 ID:O22rzaCt0
ティッシュが凍っているようなアイコンがすき
103 キャプテン(千葉県):2007/11/22(木) 19:50:56 ID:8GOZPFxt0
1.52だった
104 食品会社勤務(東京都):2007/11/22(木) 19:54:37 ID:NT4y8eR60
>102
もうティッシュが凍っているようにしか見えなくなった。どうしてくれる。
105 スカイダイバー(長野県)

        ______
      / //    /|
      | ̄/  ̄ ̄,:|//!
      |/_,,..,,,,_ ./ .!/|
      | ./ ,' 3/`ヽ::|っ.!
      | l /⊃ ⌒.|つ|
      |/ー---‐'''''"|/
        ̄ ̄ ̄ ̄ ̄