LhaForgeにおける任意のDLL読み込みの脆弱性(JVN#74554973)について 更新:2017年7月27日: JVNの本件へのリンク追加 公開日:2017年7月25日 【概要】 LhaForgeはファイルの圧縮、圧縮ファイルの展開・完全性検査を行うプログラムです。LhaForgeのインストーラにはDLLを読み込む際の検索パスに問題があり、意図しない DLL を読み込んでしまう脆弱性(CWE-427)が存在します。 【影響を受けるモジュール及びシステム】 LhaForge Ver.1.6.5およびそれ以前のバージョンの、インストーラ(lfsetup_???.exe) ※最新版(LhaForge Ver.1.6.6およびそれ以降)では修正済みです。 【詳細情報】 LhaForgeのインストールに脆弱性のあるインストーラを使用すると、インストーラと同一ディレクトリに存在するDLLを意図せず読み込んでしまう脆弱性が存在します。 【想定される影響】 インストーラが悪意あるDLLを読み込むことで、インストールに使用する管理者権限で任意のコードを実行される可能性があります。 【対策方法】 LhaForgeをインストールする際は、本脆弱性を修正済みのバージョン(Ver.1.6.6およびそれ以降)を使用してください。 なお、本脆弱性はLhaForgeインストール時にのみ影響するため、インストール済みのLhaForgeを更新する必要はありません。また、圧縮・展開済みのファイルを改めて圧縮・展開し直す必要もありません。 【回避方法】 やむを得ず脆弱性のあるインストーラを使用する際は、以下の手順で脆弱性を回避できます。 ・新規に作成したディレクトリにインストーラを配置し、インストーラ以外のファイルが存在しないことを確認した上で実行する。 【関連情報】 JVN#74554973: LhaForge のインストーラにおける DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN74554973/ Japan Vulnerability Notes JVNTA#91240916 Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 https://jvn.jp/ta/JVNTA91240916/ JPCERT Coordination Center http://www.jpcert.or.jp/ IPA 情報処理推進機構 http://www.ipa.go.jp/ 【謝辞】 橘総合研究所の英利 雅美様よりこの問題をご報告いただきました。感謝いたします。 また、ご協力いただいたIPA、JPCERT/CCの方々にも、深く感謝申し上げます。 【連絡先】 Claybird(LhaForge作者) Webサイト: http://claybird.sakura.ne.jp/ メール: claybird.without.wing@gmail.com