パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

官庁ではまだ使われているLHA」記事へのコメント

  • LZH形式対応の解凍ソフトが必要」とは書いてあるけど、「LHAがまだ使われている」なんてどこに書いてあるの?
    解凍ソフト(ウイルス対策ソフト含む)のバグ・脆弱性の問題なので、解凍ソフトが改善されていれば使って問題ないんじゃないの?改善されているかどうかは知らんけど。

    • by Anonymous Coward

      要は改ざんされたヘッダがあると、ウィルス対策ソフトが書庫内のそのファイルorそれ以降の全ファイルを検査しない事があるってのが問題なわけだから、ウイルス対策ソフトが未対応かもしれないのに、安易に改ざんされたヘッダでも解凍できちゃうソフト使うのは不味いんじゃねーかと。

      • by Anonymous Coward on 2016年09月10日 9時25分 (#3078786)

        書庫ファイル内がウィルスチェックされないのは暗号化ZIPも同じじゃね?
        お役所でメールなんかでZIP使うときなんか暗号化ZIP使うだろうし、「書庫内ファイルがウィルスチェックされない」は脆弱性の理由としては違うような。

        親コメント
        • by Anonymous Coward

          実際に問題なのかどうかは別として、UNLHA32.DLLの作者は問題だって主張してるよ。

          LZH 書庫のヘッダー処理における脆弱性について (2010 年版) [micco.mars.jp]

          ところが, このバッファーオーバーフローの問題に対応していたとしても, 後者の処理を採用しているソフトでは, それが新たな問題を発生させる場合があります。 問題が発生するのは『ウイルス対策ソフト』等の場合です。

          多くの対応ソフトでは, バッファーが溢れてしまう大きなサイズのヘッダーが存在した場合, そこで書庫全体に対する処理を打ち切るか, 当該メンバーを無視して次のメンバーの処理に移ります

        • by Anonymous Coward

          同じこと考えてました。
          他のコメントざっと見た感じでは、これを覆す話は無いように思います。

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...