アカウント名:
パスワード:
「LZH形式対応の解凍ソフトが必要」とは書いてあるけど、「LHAがまだ使われている」なんてどこに書いてあるの?解凍ソフト(ウイルス対策ソフト含む)のバグ・脆弱性の問題なので、解凍ソフトが改善されていれば使って問題ないんじゃないの?改善されているかどうかは知らんけど。
要は改ざんされたヘッダがあると、ウィルス対策ソフトが書庫内のそのファイルorそれ以降の全ファイルを検査しない事があるってのが問題なわけだから、ウイルス対策ソフトが未対応かもしれないのに、安易に改ざんされたヘッダでも解凍できちゃうソフト使うのは不味いんじゃねーかと。
書庫ファイル内がウィルスチェックされないのは暗号化ZIPも同じじゃね?お役所でメールなんかでZIP使うときなんか暗号化ZIP使うだろうし、「書庫内ファイルがウィルスチェックされない」は脆弱性の理由としては違うような。
実際に問題なのかどうかは別として、UNLHA32.DLLの作者は問題だって主張してるよ。
LZH 書庫のヘッダー処理における脆弱性について (2010 年版) [micco.mars.jp] ところが, このバッファーオーバーフローの問題に対応していたとしても, 後者の処理を採用しているソフトでは, それが新たな問題を発生させる場合があります。 問題が発生するのは『ウイルス対策ソフト』等の場合です。多くの対応ソフトでは, バッファーが溢れてしまう大きなサイズのヘッダーが存在した場合, そこで書庫全体に対する処理を打ち切るか, 当該メンバーを無視して次のメンバーの処理に移ります
LZH 書庫のヘッダー処理における脆弱性について (2010 年版) [micco.mars.jp]
ところが, このバッファーオーバーフローの問題に対応していたとしても, 後者の処理を採用しているソフトでは, それが新たな問題を発生させる場合があります。 問題が発生するのは『ウイルス対策ソフト』等の場合です。
多くの対応ソフトでは, バッファーが溢れてしまう大きなサイズのヘッダーが存在した場合, そこで書庫全体に対する処理を打ち切るか, 当該メンバーを無視して次のメンバーの処理に移ります
同じこと考えてました。他のコメントざっと見た感じでは、これを覆す話は無いように思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
LHAがまだ使われている模様? (スコア:0)
「LZH形式対応の解凍ソフトが必要」とは書いてあるけど、「LHAがまだ使われている」なんてどこに書いてあるの?
解凍ソフト(ウイルス対策ソフト含む)のバグ・脆弱性の問題なので、解凍ソフトが改善されていれば使って問題ないんじゃないの?改善されているかどうかは知らんけど。
Re: (スコア:0)
要は改ざんされたヘッダがあると、ウィルス対策ソフトが書庫内のそのファイルorそれ以降の全ファイルを検査しない事があるってのが問題なわけだから、ウイルス対策ソフトが未対応かもしれないのに、安易に改ざんされたヘッダでも解凍できちゃうソフト使うのは不味いんじゃねーかと。
Re:LHAがまだ使われている模様? (スコア:0)
書庫ファイル内がウィルスチェックされないのは暗号化ZIPも同じじゃね?
お役所でメールなんかでZIP使うときなんか暗号化ZIP使うだろうし、「書庫内ファイルがウィルスチェックされない」は脆弱性の理由としては違うような。
Re: (スコア:0)
実際に問題なのかどうかは別として、UNLHA32.DLLの作者は問題だって主張してるよ。
Re: (スコア:0)
同じこと考えてました。
他のコメントざっと見た感じでは、これを覆す話は無いように思います。