..\ 入りファイル名の取り扱いについて
(
小島 肇
)
2004/07/29 18:34
LHasa にはいつもおせわになっております。
「圧縮ファイル解凍の脆弱性」という文書が公開されています。
http://www2.sala.or.jp/~uuu/security/archive.html
圧縮ファイル名として "..\..\..\..\..\..\..\..\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ\test.hta" 等と指定しておくと、書庫の解凍先が起動ドライブである場合に、C:\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ\test.hta が自動的に作成されてしまう、という内容です。
LHasa 0.17 も、これに該当してしまうようです。
..\ や ../ 入りのファイルについては解凍を抑制する、などといった処理を追加して下さるとありがたく思います。_o_
--「..\ 入りファイル名の取り扱いについて」に対するコメント--
タイトル(Subject):
お名前(Your name):
Mail address:
Password:
:入力しておくとあとで削除できます
Your message:
7thBridge P ver0.26 (c)Takechin
..\ 入りファイル名の取り扱いについて
(小島 肇)
2004/07/29 18:34