報道によれば、情報処理推進機構(IPA)とJPCERTコーディネーションセンターは10月12日、「フリーの圧縮・解凍ソフト Lhasa や Lhaplus にそれぞれ脆弱性が発見された。」として、セキュリティ情報を公開した。
Lhasaで確認された脆弱性は、実行ファイルを読み込む際のファイル検索パスに関する問題から、意図しない実行ファイルを読み込んでしまうもので、バージョン0.19以前に存在する。
Lhaplusの脆弱性は、DLLを読み込む際の検索パスに関する問題から意図しないDLLを読み込んでしまうもので、バージョン1.57以前に存在する。
いずれの脆弱性も、プログラムを実行している権限で任意のコードを実行される可能性がある。
それぞれのソフトの開発者は、脆弱性を修正したバージョン(Lhasaは0.20、Lhaplusは1.58)を公開済みだ。
これらのソフトのユーザーは、早期にアップデートの適用が必要だ。