「Lhaz」と「Lhaz+」、「MS IME」などDLL読み込みに関する脆弱性情報公開 - IPAとJPCERT/CC

「Lhaz」と「Lhaz+」、「MS IME」などDLL読み込みに関する脆弱性情報公開 - IPAとJPCERT/CC

画像提供:マイナビニュース

7日、IPAとJPCERTコーディネーションセンター(JPCERT/CC)は、「Lhaz」と「Lhaz+」のインストーラ、作成された自己解凍書庫ファイルにおけるDLL 読み込みに関する脆弱性(JVN#21369452)と「Microsoft IME」のDLLファイル処理に関する脆弱性(JVN#21627267)をJVN(Japan Vulnerability Notes)に公表した。

対象となるのは圧縮・解凍ソフト「Lhaz」の2.40以前のインストーラーと作成された自己解凍書庫ファイル(CVE-2017-2246/CVE-2017-2247)、「Lhaz+」バージョン 3.4.0以前のインストーラーと作成された自己解凍書庫ファイル(CVE-2017-2248/CVE-2017-2249)。いずれも意図しないDLLファイルを読み込む脆弱性があり、任意のコードを実行される可能性がある。開発を行うちとらsoftでは、既に最新版を公開しており、Webページでそれぞれ最新版のダウンロードインストールや対策を掲載している。

また、2016年11月8日リリースのMS16-130で修正されている「Microsoft IME」における任意のDLL読み込みに関する脆弱性も公表(JVN#21627267)している。
(長岡弥太郎)