nlog(n)

お手軽な圧縮書庫解凍ソフト Lhasa が4年ぶりにバージョンアップした．窓の杜 NEWS によれば，ある種の設定をしてある書庫では「指定外の場所へファイルが解凍されてしまう脆弱性が存在」するとのこと．これは多くの解凍ソフトに対してもいえる．悪用されれば，悪質なプログラムが「スタートアップ」に登録されてしまう危険性もある．

上記の「窓の杜 NEWS」には，メジャーな解凍ソフトとその脆弱性が一覧できるようにまとめられている．お気に入りの解凍ソフトがどのような対応になっているのかチェックすることができる．

この問題は，解凍先の指定に親ディレクトリが含まれている場合や絶対パス指定がされている場合の動作に関する「directory traversal 問題」というもので，単純に「脆弱性」として捉えるのには疑問という声もある．このあたりの詳しい議論は スラッシュドット ジャパン | 多くの解凍ソフトに指定外の場所に解凍してしまう脆弱性 で．

考えてみれば，インストーラつきの EXE のパッケージや自己解凍ファイルは何をされるか分からないという危険がある．その分だけ EXE ファイルの実行には注意を払う．しかし，圧縮された書庫に関しては，解凍しても危険だとは思わない．解凍してみて，フォルダごと削除すれば全て削除できる気がする．そこが EXE との違いである．

バージョンアップしておいた方がいいだろう．解凍先として指定したフォルダと，実際に解凍されるフォルダは一致していた方がいい．

• Tweet