国産のファイル圧縮方式「LZH」の核ともいえるdllファイル「UNLHA32.DLL」の開発が停止することが、開発者Micco氏のページで発表された。
JVNやIPAが脆弱性を受理しなかったことが開発を中止する発端となっており、主要ベンダーのセキュリティ対策ソフトでも脆弱性への対応がなされない状態であることが理由という。
同氏は以前より、LZH形式のアーカイブには、ZIPやCAB、7zなどと同様に、ヘッダ情報を細工することでセキュリティ対策ソフトのスキャンを回避する脆弱性が存在しているとJVNに対し報告をしていたが、「不受理」とされ、セキュリティ対策ソフトにおけるLZH形式のアーカイブへの対策はなされていない。
同氏は自らのホームページ上において、このような状況にあるLZH形式を、企業や団体が利用することはセキュリティ上危険であるとして、利用しないように呼びかけている。
お知らせ(Micco's HomePage):DLL作者のページ
http://www2.nsknet.or.jp/~micco/notes/ann.htm
|