『LZH 書庫のヘッダー処理における脆弱性について (2010 年版)』 (MHVI#20100425) について, 4 月下旬に JVN へ報告したのですが, 今日になってようやく返事が来ました。 結果は「不受理。」 「殆ど同じネタでも, ZIP や 7z 書庫では脆弱性情報となり, LZH や ARJ 書庫では脆弱性に当たらない」としか解釈できない結果でした。 状況は 3 年半前と変わっていないようです。
これで, 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ〜よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止することに決めました。 脆弱性が存在しても放っておかれるような書庫が いつまでも業務目的で利用されるのは嫌ですので。
なので, 現行のバグフィクスくらいはしますが, 64 ビット版や低レベル API 追加版は出ません。 さらに やる気を失ってバグフィクスも面倒になったら告知することになるでしょう。 今は まだ完全停止に至っていませんので。
おそらく, 海の向こうでネタに上るか大きな事件でも発生しない限り対応されることはないでしょうから, (特に団体・企業内で) LZH 書庫を使うのは止めましょう。 まぁ, ZIP 書庫ですら 3 年以上経ってから海外でネタに上ったくらいなので, LZH 書庫も あと 10 年ほどしたら海外でネタに上るかもしれません。
Jun.4,2010 追記
「『LZH 書庫なんて知らねぇ〜よ』という態度」と解釈したのは, ベンダーについては「説明等を行ったあとは 3 年以上梨の礫で対応も行われていない」, JVN / IPA については「『ZIP, CAB, 7z 書庫など, 脆弱性情報として公開されている同様のケース (対策ソフト等で検疫が行われない不具合:JVNVU#545953。) と何が異なるのか?』といった質問に対して未回答だった」, といった経緯からです。 不受理とした理由が 3 年半前と同じ (「それは脆弱性ではなく, ソフトの機能・性能の問題」という理由。) であるのなら, 書庫が異なるだけの違いでしかない JVNVU#545953 を公開するのは論理的に破綻しています。 一方, 異なる理由が ちゃんとあるのであれば それを説明できるはずですし, 出来ないのであれば それはもはや「LZH 書庫だから」といった理由しか残らないことになります。
よもや, 「CVE で採用された事案 (CVE-2010-0098) は公開するが, 国内からの情報提供は受理しない」といった寒いケースではないことでしょう…「ないと思いたい」です。 もしそうなら存在価値ゼロですから。
何かアホらしくなってしまいましたので, 現在調査中だった 2・3 のソフトの脆弱性 (攻撃可能なもの。) については調査の継続 (と言いますか実証データーの作成。) も報告するのも止めました。 自衛だけしておいて, あとは何時か何処かで誰かがネタに上げてくれることを期待することにします。
文中で頻繁に出てくる「JVN」とは何かというと、「日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイト」のことで、同じく文中で頻繁に出てくる情報処理推進機構、略して「IPA」などが運営しているもの。
確かにLZH形式はZIP形式のようにWindowsXP以降で標準サポートされたりはしておらず(圧縮フォルダでZIP形式だけでなくLZH形式も扱える追加機能は2005年4月から一応提供はされている。また、Windows7は追加インストールなしでLZH解凍のみ可能)、XP以降のWindowsしか知らない人にとっては「LZH?なにそれ?どうしてZIPじゃないの?」というような感じなのかもしれませんが、日本のソフトウェア配布サイトとして有名な「窓の杜」や「Vector」では、今もLZH形式で圧縮されたファイルが多数配布されており、確かに日本のローカル圧縮形式かもしれませんが、無視して良いレベルの普及率ではありません。
それどころか圧縮解凍ソフトとして有名なソフトはそのソフト名からして「LZH形式」を前提にしているものが多数あり、窓の杜収録ソフトではLZH形式の圧縮とアーカイブを行う「 LHA」の名前を冠したものが今も多くあります。 「Lhasa」、「ExpLZH」、「Lhaplus」、「LhaForge」、「+Lhaca」がその一例です。
懐古主義的になりますが、昔はLZH形式の方がZIP形式よりも圧縮率が優れていることが多く、ハードディスクが「大容量2GB!」とかいう時代には少しでも空き容量を稼ぐため、そしてダイヤルアップのテレホーダイが全盛期だった頃には毎秒数キロバイトという速度だったのでやはりファイルサイズを少しでも減らして通信を一刻も早く終わらせるため、「LZH形式」が重宝された時代があったわけです。それがこのような形で開発中止、使用中止のおしらせ、というようにしてひとつの時代の終焉というか、絶滅を目撃することになるというのは、なんとも言えない気持ちです。
http://gigazine.net/index.php?/news/comments/20100607_lzh_end/
オジサンはLZH型式の圧縮解凍ソフトをDLLファイルなどない時代から今でも使い続けているぞ!
もちろんセキュリティーなんて概念のない時代の産物と言えばそれまでだが、
暗号化は別の専用ソフトを使えば済む話。
そしてLZH型式をサポートする圧縮解凍ソフトは多くのプログラマー達が腕を競うように作ったもので、
この記事に出てきた作者もそうした中の1人に過ぎないことを古いPCユーザーは知っている。
しかし、そうしたことを知らない人が上記の記事を鵜呑みにすると
著作権を持つ他の作者の存在を無視した決定事項と受け取られる危険な思考誘導を受けてしまう。
この作者のソフトは他のソフトと共に使われる『拡張機能』に過ぎず、圧縮解凍ソフト本体ではない!
そんな他社の寄生したソフトの一作者が「LZH 書庫を使うのは止めましょう」と呼び掛けることで
LZH型式の使用中止へ話を持っていくのは何らかの意図的誘導と疑ってしまう。
| LZH型式が日本国産の圧縮方式であり |
| 日本国産ソフトを潰そうとする意図が働く。 |
| しかし、 |
| 政府主導の国産ソフトは潰せても |
| 個人プログラマー達に支えられたソフトを |
| 駆逐することはできない! |
そしてOSの世代を越えた普及率の高さは利用者にとって個人ごとの 使いやすさも異なってくる。
そもそも『LZH書庫』を使わない者にはどうでもいい話なのに、
| LZH型式終了のお知らせ |
| と、誤解してしまった時点で完全に記事に扇動されてしまう |
| 見出し記事で誤解させるとんでもない記事だ。 |
| LZH型式はまだまだ使い続けられます! |
…そう言えばオジサンの仕事用PCに入れてあるzipファイルで
通常の『解凍処理』では問題なく解凍できるにも関わらず
『書庫として開くとフリーズする』トラップを仕掛けてあったっけ(´∀`)
|
![[11]](https://s.yimg.jp/i/jp/blog/p3/images/paging_for2.gif){kind=small}
コメント(2)
