StuffIt Expander 6.5.2以前にバッファオーバーフロー 8
ストーリー by yourCat
ZIP関係は他も要注意 部門より
ZIP関係は他も要注意 部門より
Acanthopanax曰く、 "Appleのsecurity-announce メーリングリストに流れたメールによると、バージョン6.5.2以前のStuffIt Expanderには、長いファイル名のファイルを含むZIPアーカイブの展開の際にバッファオーバーフローを引き起こす脆弱性があるという (CERT Vulnerability Note VU#383779)。バージョン7.0にはこの問題は存在しないので、同メールでは7.0へのバージョンアップを勧めている。"
Aladdin Systemsに説明とダウンロードのページがある。OSバンドル製品だしセキュリティー絡みなので、Software Updateでも配付して欲しいところだ。 [Update] Software Updateでの配布が開始された。(10月17日 14:00)
ソフトウェア・アップデート (スコア:1)
ソフトウェア・アップデートでも配布が開始されました。
7.0上等 (スコア:0)
若しくは7.0.1でも可。
Re:7.0上等 (スコア:1)
Jaguar付属の6.5.1でLHA解凍できてる気がするんですが。
…気のせい?もしかして7.0では解凍できなくなってるんですか?
まあ、正直OpenUpがあるんであまり関係ないかなーと。
Re:7.0上等 (スコア:1)
7.0でもたいていのLZHを展開できます。
ただ、以前から一部のLZHファイルの展開がうまくいかないということはありますねぇ。
LHa展開に失敗した場合 (Re:7.0上等) (スコア:2, 参考になる)
これは、LHaがMac固有のリソースフォークを知らず、データフォークしか扱えない事に由来します。このためMacLHaは、リソースフォークを含め一旦MacBinaryエンコードしてからLHa書庫化します。StuffItはMacLHaのこの涙ぐましい努力をまったく理解しないため、LHa展開だけして満足してしまいます。
つまり展開に失敗したように見えるデータは.binになっているだけです。もう一度StuffIt ExpanderにかければMacBinaryデコードをしてくれるので、正常なデータになりますよ。
それ以外の展開に失敗するケースは見た事がないので分かりません。
Re:LHa展開に失敗した場合 (Re:7.0上等) (スコア:2, 参考になる)
なるほど、参考になります。
私のところで展開できないのは昔のX68000で作成したLZHアーカイブです。UNIX版LHAで確認してみると、どうもサブディレクトリのあるものが展開できないみたいです。
# さすがにこれは、Aladdinでも動作確認の対象外であろう。
Re:7.0上等 (スコア:0)
ええ、6.5.1で出来ていたファイルが、7.0で出来なくなってしまいました。
他に要因があるのか、ウチでは全滅です。
6.5.1由来のファイルは削除してからインストールしたつもりなんだけどなー。