Jun
7
“アンチウィルスの脆弱性として扱われれば、メーカー各社は必死に修正するでしょう。
この騒動で一番重要な事は、「LZH終了のお知らせ」 ではなく、アンチウィルスソフトウェアの脆弱性が放置されている点にあります。
海外のCVEはともかく、日本のIPAはLZH形式を知ら ないはずが無いわけです。日本国内でのLZHファイルの流通量についても知っている(少なくとも調査は容易に行える)はずなので、影響範囲は小さくないと すぐに分かったはずです。
さらに、他形式における対応(アンチウィルスの脆弱性として受理)を考えれば、IPAがアンチウィルスの脆弱性を受理し ない事の方が不思議です。
なぜ脆弱性情報が受理されなかったのか、今後はそちらの方が問題になるのではないかと思います。” UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける - スラッシュドット・ジャパン
この騒動で一番重要な事は、「LZH終了のお知らせ」 ではなく、アンチウィルスソフトウェアの脆弱性が放置されている点にあります。
海外のCVEはともかく、日本のIPAはLZH形式を知ら ないはずが無いわけです。日本国内でのLZHファイルの流通量についても知っている(少なくとも調査は容易に行える)はずなので、影響範囲は小さくないと すぐに分かったはずです。
さらに、他形式における対応(アンチウィルスの脆弱性として受理)を考えれば、IPAがアンチウィルスの脆弱性を受理し ない事の方が不思議です。
なぜ脆弱性情報が受理されなかったのか、今後はそちらの方が問題になるのではないかと思います。” UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける - スラッシュドット・ジャパン
