[リリース] v2.5.3 / v3.5.3

[chitora48]

みなさま

Lhaz v2.5.3 / Lhaz+ v3.5.3 をリリースしました。

「7-Zip」で指摘されている、「Mark of the Web」をバイパスできる脆弱性、に対応しています。
参考) https://forest.watch.impress.co.jp/docs/news/1656132.html

<変更>
・MOTW対応（7z/zip/lzhのみ。他形式は順次）
<修正>
・7z閲覧でファイルを開くと例外発生するのを修正

https://www.chitora.com/purchase/

[t05]

かなり前(スレッド：[リリース] Lhaz v2.5.1 / Lhaz+ v3.5.1 2017/12/18)にも書きましたが、Lhazで作成できる(サポートしている)形式の一部の書庫内のファイルを開くとフリーズします(.7zは最新版で改善されているのを確認)。
自己解凍関連の不具合もそのままのようです。
検証過程でほかにも不具合を見つけたので、改めて確認をお願いします。

1.
「.GZ」,「.BZ2」,「.XZ」,「.LZ4」書庫内のファイルを開くとフリーズ

2.
「SFX(LZH)」関連の不具合
1)ファイルを解凍する際に、同名のファイルがある場合でも「ファイルの上書きの確認」ダイアログが表示されない
2)フォルダーを圧縮し、解凍する際に数字の名前が付いたフォルダーとファイルが解凍(場合によっては動作を停止)

3.
通常であれば、対応していない形式を読み込んだ場合は書庫の作成画面が表示されるが、
Ubuntu(Xubuntu)のアーカイブ作成で作成した.lzma(※ヘッダー 5D 00 00 80 00 FF FF FF FF FF FF FF FF 00 以降にデータが含まれているファイルなら何でも)を開くと「書庫読み込み中です」でフリーズ


ほかのスレッドの検証できそうな不具合も確認しましたが、こちらでも再現できたので同様に確認をお願いします(以下スレッドタイトルのみ記載)。

「ツールのファイル復号化が暗号化されていないファイルにも使えてしまいます。 2020/05/14」※非常に危険
「拡張子以外にドットを含むフォルダ名 2019/09/16」

2025年2月1日土曜日 8:54:16 UTC+9 chitora48:

[chitora48]

t05さま

ご検証ありがとうございます。

順次修正してまいります。

>1.

>「.GZ」,「.BZ2」,「.XZ」,「.LZ4」書庫内のファイルを開くとフリーズ

MOTWの対応でこちらでも現象確認しており、次回2.5.4 / 3.5.4にて修正予定です。

以降の点についても、確認・対応進めます。