LhaForgeに同梱されている「DLL更新」ツールは、「Caldix」というソフトウェアをベースに、LhaForge向けにカスタマイズしたものです。
このベースとなったCaldixについて、先日、セキュリティ上の脆弱性が発見されました。
Caldixの問題の詳細は、以下のページを参照してください。
http://www.kmonos.net/lib/caldix.ja.html
このCaldixの脆弱性は、「DLL更新」ツールについても存在すると思われます。
この問題に対する修正ですが、都合により数日中は対応が行えません。
もしこの脆弱性に該当する場合には、「DLL更新」ツールの代わりに最新のCaldixを使用してください。機能は若干異なりますが、実用上の問題はありません。
なお、Caldixの脆弱性に関する情報を引用しておきますと、
>1.21 の更新点:
> ・ 1.20 やそれ以前のバージョンにはDLL読み込みに脆弱性 JVNVU#707943 があります。
> アーカイバDLLのロードには問題はないのですが、ダイアルアップ接続の管理関係のDLLのロードに脆弱性がありました。
> 1.21 で修正済みです。 1.20 以前でもカスタムで「常時接続環境で利用」にチェックしている場合は危険はありません。
となっています。
「DLL更新」ツールについても、同様に「常時接続環境で利用」にチェックが入っている場合は危険はありません。
|