タイトル | : Re: 配布書庫の種類について |
投稿日 | : 2010/10/18(Mon) 16:26 |
投稿者 | : 永 |
永です。
遅レスで申し訳ありません。
> 便利に使わせていただいております。ありがとうございます。
> 圧縮書庫のlzhにはセキュリティの問題があるようです。zipなどのほかの形式を、ご検討いただけると助かります。
ZIPでの配布に異論を唱えるわけではありませんが、ちょっと「問題」が見えずらいので調査しました。
脆弱性に関しては
http://homepage3.nifty.com/micco/vul/2010/mhvi20100425.htm
上記ページを参照して下さい。
問題の本質は「ウィルス対策ソフトでのチェックをすり抜けてしまうLZH書庫が存在しうる」というところにあります。
現在バッファーオーバーフローに関しては、多くのアーカイバーソフトが対応済みのようです。したがって、アーカイバーでLZH書庫を扱う分には問題は小さいと思われます。
問題は、ウィルスゲートウェイチェックだけでは不正なファイルを含む書庫を見逃してしまう可能性があるということです。つまり、ウィルス対策ソフト側での対応に問題があります。
なお対策ソフトをインストールしている場合、普通に書庫を展開した後にウィルスチェックを行えばちゃんと引っかかるようです。
ということで、「ウィルスチェッカーに引っかからないような書庫形式は安心とは言えないので使用禁止」という判断も間違ってはいないと思いますが、書庫形式に不備がある訳ではないので判断が難しいところだと思います。
# 私自身はここ2,3年、ZIPでしか圧縮していないのでLHZで無くても良いのですが…