アカウント名:
パスワード:
問題なのは rar 形式ではなく ace 形式で、同様の問題について Explzh でも対応をしていますace 形式の展開はバイナリしかなく、直しようがないので対応をやめるという対処をしていますで問題なのは日本でメジャーな Lhaplus がまだ対応していないんじゃないかという疑惑(疑惑というか、ace 形式対応してるなら間違いなく問題孕んでるはず)
一般ユーザ向けには、この先 ace 形式は問答無用で削除、ぐらいの対応でも良いかもしれません
その昔存在していたWinAceって、何だったかな...。https://en.wikipedia.org/wiki/WinAce [wikipedia.org]
窓の杜でずばりその旨書いてありますね。https://forest.watch.impress.co.jp/library/software/lhaplus/ [impress.co.jp]
(疑惑というか、ace 形式対応してるなら間違いなく問題孕んでるはず)
総合アーカイバではラッパー側で対処しているので問題ないとのことです一律に ace 対応しているから脆弱性! というわけではないので、表現が誇張されていたこと謝罪します。
総合アーカイバプロジェクト [madobe.net]
なお、ITmedia の記事 で言及されている UNACEV2.DLL の脆弱性(ディレクトリトラバーサル問題)につきましては、『UnAceV2J.DLL』側で対処してますので、問題ないはずです。ただ、ACE書庫の開発元である ACE Compression Software につきましては、 現在のところホームページが消失しており、消息が掴めません。(2019年2月24日補記)
最終更新日が2016/3/29なのに対応済みということは、単に古くから知られていた脆弱性に対してWinRARが対応をサボっていただけか
2001年か2002年くらいに少し見た程度ですね…。同じくマイナーアーカイブのGCAの方がまだ見た気がします。
アイコンが好きで愛用してたわ
一般に流通していないからこそ、もう一律排除でも良いんじゃないかと思いました今流通している ace ファイルのほとんどはこの脆弱性狙いなんだろうな、と
関連付けされていると「(デフォルトだと)拡張子はでない」「圧縮されているアイコンになる」「ダブルクリックで動き出す」と一般ユーザだと普通に踏み抜くであろう状況ですし
リンク先に書いてありますが、拡張子出してても拡張子を「.rar」とかに変えとけばWinRARはバイナリ見てace形式と看破して解凍しちゃいます
「WinRARの脆弱性」と報じたメディアが多かったので、「WinRARは使ってないから大丈夫」と判断している人がいるような気がします。
海外ニュースをそのまま持ってきているだけ、というのが問題ですかね国内の状況に照らし合わせれば、WinRAR なんかより余程別のソフトの方が問題なのがわかるはずなのですが
# 会社で周りの人の Lhaplus 率にびっくりします(共有端末なんかも必ず入っている……)# 私は新しい物好きなので、WinRAR(ライセンス購入済み)か 7z 入れるようにしていますが
そう、見回してみると驚くほどLhaplus!営業がお客さんに薦めてる例もあったっぽい
うちの会社もLhaplusなんだよなあ。
プライベートでは普段使いがLhaz(ただ単にフォルダ圧縮するだけ、解凍するだけの時)ちょっと細かい事やろうとすると小回りがきかないのでそういうのはExplzhとか。後はWinRarと7zかな。洋ゲーのModとか色々漁ってると結構変なのあるんだよなぁ。Lhazだと上手く解凍できなかったりとか(rarと7zで多い)Explzhは圧縮する時のまとめて別フォルダとかが便利なので使ってる。
そして脆弱性のこと言うと敵とみなされ14H250日全方位からフルボッコ人格攻撃受けるんですね分かります。#○察がアレだから正解なのかも
14H勤務とはいえ完全週休2日というのが妙なリアリティがありますね
そりゃあリアル体験ですからw#自分「は」壊れなかったけどヤバかった
とっくにLhaforgeに乗り換えたけどLhaplusに馴染みすぎて氷付けアイコンじゃないと違和感を感じるようになってしまったそのアイコンの入ったdllだけぶっこぬいて使ってる
Lhaplus よりも、はるかに歴史の長い WinRAR を新しい物好きとは如何に?
Lhaplusなんて殆どメンテされてないようなソフトを使ってるのが悪いだろ。
更新されていてもつい最近まで脆弱性を放置していたWinRARというソフトもありますし
今でもLhaplusな人多いのか…完全になつかしのソフト枠だったわ
Lhaplus 更新履歴、各種情報http://www7a.biglobe.ne.jp/~schezo/history.html [biglobe.ne.jp]
にある以下の修正とは別件かしら?>Lhaplus Version 1.72 [ 2015/04/08 ]>特定のアーカイブ処理時に、意図的しない場所に解凍される脆弱性を修正しました。>(脆弱性発見者の Masato Kinugawa 様に、深く感謝申し上げます)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
Lhaplus が危ないかも (スコア:1)
問題なのは rar 形式ではなく ace 形式で、同様の問題について Explzh でも対応をしています
ace 形式の展開はバイナリしかなく、直しようがないので対応をやめるという対処をしています
で問題なのは日本でメジャーな Lhaplus がまだ対応していないんじゃないかという疑惑
(疑惑というか、ace 形式対応してるなら間違いなく問題孕んでるはず)
一般ユーザ向けには、この先 ace 形式は問答無用で削除、ぐらいの対応でも良いかもしれません
Re:Lhaplus が危ないかも (スコア:2)
その昔存在していたWinAceって、何だったかな...。
https://en.wikipedia.org/wiki/WinAce [wikipedia.org]
Re:Lhaplus が危ないかも (スコア:1)
窓の杜でずばりその旨書いてありますね。
https://forest.watch.impress.co.jp/library/software/lhaplus/ [impress.co.jp]
Re:Lhaplus が危ないかも (スコア:1)
総合アーカイバではラッパー側で対処しているので問題ないとのことです
一律に ace 対応しているから脆弱性! というわけではないので、表現が誇張されていたこと謝罪します。
総合アーカイバプロジェクト [madobe.net]
Re: (スコア:0)
最終更新日が2016/3/29なのに対応済みということは、単に古くから知られていた脆弱性に対してWinRARが対応をサボっていただけか
Re: (スコア:0)
少なくともそう言う拡張子に遭遇した事がここ20年は無いから。
Re:Lhaplus が危ないかも (スコア:2)
2001年か2002年くらいに少し見た程度ですね…。
同じくマイナーアーカイブのGCAの方がまだ見た気がします。
Re: (スコア:0)
アイコンが好きで愛用してたわ
Re: (スコア:0)
一般に流通していないからこそ、もう一律排除でも良いんじゃないかと思いました
今流通している ace ファイルのほとんどはこの脆弱性狙いなんだろうな、と
関連付けされていると
「(デフォルトだと)拡張子はでない」
「圧縮されているアイコンになる」
「ダブルクリックで動き出す」
と一般ユーザだと普通に踏み抜くであろう状況ですし
Re: (スコア:0)
リンク先に書いてありますが、拡張子出してても拡張子を「.rar」とかに変えとけばWinRARはバイナリ見てace形式と看破して解凍しちゃいます
Re: (スコア:0)
「WinRARの脆弱性」と報じたメディアが多かったので、「WinRARは使ってないから大丈夫」と
判断している人がいるような気がします。
Re: (スコア:0)
海外ニュースをそのまま持ってきているだけ、というのが問題ですかね
国内の状況に照らし合わせれば、WinRAR なんかより余程別のソフトの方が問題なのがわかるはずなのですが
# 会社で周りの人の Lhaplus 率にびっくりします(共有端末なんかも必ず入っている……)
# 私は新しい物好きなので、WinRAR(ライセンス購入済み)か 7z 入れるようにしていますが
Re:Lhaplus が危ないかも (スコア:1)
そう、見回してみると驚くほどLhaplus!
営業がお客さんに薦めてる例もあったっぽい
Re: (スコア:0)
うちの会社もLhaplusなんだよなあ。
プライベートでは
普段使いがLhaz(ただ単にフォルダ圧縮するだけ、解凍するだけの時)
ちょっと細かい事やろうとすると小回りがきかないのでそういうのはExplzhとか。
後はWinRarと7zかな。
洋ゲーのModとか色々漁ってると結構変なのあるんだよなぁ。
Lhazだと上手く解凍できなかったりとか(rarと7zで多い)
Explzhは圧縮する時のまとめて別フォルダとかが便利なので使ってる。
Re: (スコア:0)
そして脆弱性のこと言うと敵とみなされ14H250日全方位からフルボッコ人格攻撃受けるんですね分かります。
#○察がアレだから正解なのかも
Re: (スコア:0)
14H勤務とはいえ完全週休2日というのが妙なリアリティがありますね
Re: (スコア:0)
そりゃあリアル体験ですからw
#自分「は」壊れなかったけどヤバかった
Re: (スコア:0)
とっくにLhaforgeに乗り換えたけど
Lhaplusに馴染みすぎて氷付けアイコンじゃないと違和感を感じるようになってしまった
そのアイコンの入ったdllだけぶっこぬいて使ってる
Re: (スコア:0)
Lhaplus よりも、はるかに歴史の長い WinRAR を新しい物好きとは如何に?
Re: (スコア:0)
Lhaplusなんて殆どメンテされてないようなソフトを使ってるのが悪いだろ。
Re: (スコア:0)
更新されていてもつい最近まで脆弱性を放置していたWinRARというソフトもありますし
Re: (スコア:0)
今でもLhaplusな人多いのか…
完全になつかしのソフト枠だったわ
Re: (スコア:0)
Lhaplus 更新履歴、各種情報
http://www7a.biglobe.ne.jp/~schezo/history.html [biglobe.ne.jp]
にある以下の修正とは別件かしら?
>Lhaplus Version 1.72 [ 2015/04/08 ]
>特定のアーカイブ処理時に、意図的しない場所に解凍される脆弱性を修正しました。
>(脆弱性発見者の Masato Kinugawa 様に、深く感謝申し上げます)