「LZH」の開発中止--企業などは使用しないよう作者が注意喚起

  • このエントリーをはてなブックマークに追加

 国産アーカイバ「UNLHA32.DLL」「UNARJ32.DLL」「LHMelt」を提供するMicco氏はこのほど、同プログラムの開発を中止すると発表した。

 同プログラムは国内で利用度の高い圧縮形式「LZH」を作成、解凍するもの。無料で提供されていることや、以前はWindowsとMacで共用できる数少ない圧縮形式であったことから、日本国内ではZIPなどよりも多く使用されていたこともある。

 開発を中止する理由として同氏は、Japan Vulnerability Notes(JVN)およびセキュリティ対策ベンダーが同形式に対応しないことを挙げている。LZH形式のアーカイブには、ZIPやCAB、7zなどと同様に、ヘッダ情報を細工することでセキュリティ対策ソフトが対応できず、スキャンに失敗する場合があり、同氏はJVNに報告をしている。

 しかし、JVNの回答は「不受理」であり、主要ベンダーのセキュリティ対策ソフトでも脆弱性への対応がなされていないという。一方、ほかの圧縮形式においてはJVNで脆弱性情報が公開され、多くのセキュリティ対策ソフトで対応がなされている。同氏はこうした経緯からJVNや主要ベンダーはLZH形式を取り上げる気がないと見なし、開発の中止を決定したという。

 今後は、バグフィックスは継続するものの、64ビット版や低レベルAPI追加版の開発は行わないとしている。また、このような状況にあるLZH形式を、特に企業や団体が利用することはセキュリティ上危険であるとして、利用しないよう呼びかけている。

  • このエントリーをはてなブックマークに追加