休処

2ちゃんねるのVIP、ニュース速報、なんでも実況(なんJ)などから気になるおすすめ記事をまとめてます。

脆弱性

1: 2017/07/04(火) 00:38:18.81 _USER9
老舗の圧縮・解凍ソフト「Lhaz」「Lhaz+」に脆弱性、修正版が公開 - 窓の杜
http://forest.watch.impress.co.jp/docs/news/1068510.html

 老舗の圧縮・解凍ソフト「Lhaz」v2.5.0および「Lhaz+」v3.5.0が、1日に公開された。本バージョンはそれぞれ2件の脆弱性を修正したセキュリティアップデートとなっているので、更新を怠らないようにしたい。

 「Lhaz」は、書庫ファイルの圧縮・解凍・閲覧・テストを行うシンプルなツール。ファイルの右クリックメニューから簡単に書庫ファイルを操作できるほか、書庫ファイルを解凍せずに内容を閲覧することが可能。外部DLLを導入しなくても、アプリケーション単体で主要な書庫ファイル形式をサポートしているのも魅力だ。さらに「Lhaz+」では、“Google ドライブ”“OneDrive”“Dropbox”といったクラウドストレージを扱うことができる。

 今回のアップデートでは、インストーラーおよび自己解凍書庫ファイルの実行処理における検索パスに問題があり、意図しないDLLを読み込んでしまう脆弱性が修正された。最悪の場合、インターネット越しに任意のDLLを実行される恐れがある。影響するバージョンは「Lhaz」v2.4.0以前および「Lhaz+」v3.4.0以前のすべてのバージョンとなっており、それぞれv2.5.0/v3.5.0へのアップデートが推奨されている。

 そのほかにも本バージョンでは、コンパイラーが「Visual Studio 2017 Community」へ変更された。「unrarsrc」「XZ Utils」「zlib」といったライブラリのアップデートも行われている。また、「Lhaz+」では“OneDrive”を利用するための修正が施された。

 「Lhaz」「Lhaz+」は64bit版を含むWindows XP/Vista/7/8/10に対応するフリーソフトで、現在作者のWebサイトからダウンロードできる。なお、「Lhaz」の動作には「Visual Studio 2017 の Microsoft Visual C++ 再頒布可能パッケージ(x86)」が必要なので注意。「Lhaz+」の動作にはさらに.NET Framework 4が必要となる。
no title

引用元: http://ai.2ch.sc/test/read.cgi/newsplus/1499096298/

続きを読む

1: 的井 圭一 ★ 【特別重大報道】©2ch.net 2017/03/17(金) 12:39:15.58 ID:CAP_USER9 BE:511393199-PLT(15100)
sssp://img.2ch.net/premium/1051729.gif
IPAが2008年に公開した無料ゲーム「安全なウェブサイト運営入門」に脆弱性が見つかったとして、使用しないよう呼び掛けている。

 独立行政法人・情報処理推進機構(IPA)は3月16日、Webサイト運営担当者など向けに2008年に公開した無料ゲーム「安全なウェブサイト運営入門」に
OSコマンドインジェクションの脆弱性が見つかったとして、使用しないよう呼び掛けた。

画像
安全なウェブサイト運営入門
no title


 「安全なウェブサイト運営入門」は、Webサイト運営時にミスを犯したり、サイトに攻撃を受けた場合などの対処法をシミュレーション形式で体験できる無料ゲームとして無償でダウンロード公開したもの(対応OSはWindows XP/Vista)。
開発・サポートは既に終了しているという。

 脆弱性を悪用されると、同ゲームが動作しているコンピュータ上で、悪意ある第三者により任意のOSコマンドを実行される危険性があるとしている。

「安全なウェブサイト運営入門」に脆弱性 使用停止を - ITmedia NEWS 2017年03月16日 15時44分 更新
http://www.itmedia.co.jp/news/articles/1703/16/news105.html

引用元: http://ai.2ch.sc/test/read.cgi/newsplus/1489721955/

続きを読む

このページのトップヘ