圧縮解凍ソフトに脆弱性

2019年4月19日

Lhaplusは使わないようにしましょう。対応済みの圧縮解凍ソフトに早急に変更を!

2019年2月から報じられていますが、圧縮解凍ソフトウェア内のACE形式書庫ファイルを扱うUNACEV2.DLLライブラリに、19年前から存在するディレクトリトラバーサルの脆弱性が報告されています。

UNACEV2.DLLは2005年以降アップデートされておらず、ソースコードも公開されていない古い形式。サポートやアップデートも打ち切られています。

あなたの会社は大丈夫?UNACEV2.DLLの脆弱性があるファイル解凍ソフトの利用を発見!

UNACEV2.DLL利用が確認されたが対応済みの圧縮解凍ソフト

・7-Zip(ver19.00未満)
・WinRAR(ver5.70未満)
・Explzh for Windows(ver7.74未満)
・Bandizip(ver6.20未満)

以上は、最新版で対策済み。

UNACEV2.DLL利用が確認され未対応の圧縮解凍ソフト

・Lhaplus(未対応。2019年4月現在、対策バージョンアップされていない)

メールに添付された悪意のある圧縮ファイルを解凍すると、解凍先に指定したフォルダとは異なる階層に、ユーザーが気が付かないようにexeファイルがインストールされ、バックグラウンド処理で実行されてしまう。3月以降、このようなスパムメールが出回っているそうです。

僕もLhaplusインストールしてた。めったに使っていなかったけど。危ない所でした。

Lhaplusは利用者も多いソフトだと思います。しかし現時点でも対策されていないので、Lhaplusの利用は停止してアンインストールして削除。他の圧縮解凍ソフトに変更しておきましょう。

早急に他の対策版に更新されている圧縮解凍ソフトに変更することをお勧めします。

10月11日追記:UNACEV2.DLLの脆弱性を悪用するマルウェアが数多く確認されています。

圧縮・展開ソフトウェアの脆弱性を悪用したマルウェア
2019年2月、多くの圧縮・展開ソフトウェアが利用しているライブラリUNACEV2.DLLに脆弱性(以下、本脆弱性)が発見され、その脆弱性を悪用するマルウェアが数多く確認されています。
本脆弱性はディレクトリトラバーサルの脆弱性です。ディレクトリトラバーサルとは、通常はアクセスできないディレクトリやファイルにアクセスする脆弱性(攻撃手法)のことです。攻撃者によって細工された圧縮ファイルを展開した場合、任意のフォルダーに悪意のあるファイルが展開されるおそれがあります。本トピックではバックドア型マルウェアの事例を紹介します。

インターネット全般