安藤さんとこの前話をしたけど、このプレスリリースを出す上での苦悩を聞いた。PoCにならず、時期を逸して注意喚起にならず、でも安藤さんが見つけたので、ちゃんとアピールしたい。その辺りの苦悩が含んだBlogということ。

エンタープライズシステム部の安藤です。2018年1月11日に、JPCERTコーディネーションセンター※1と情報処理推進機構（IPA）が共同で運営する脆弱性対策情報ポータルサイトJVN（Japan Vulnerability Notes）において、「Lhaplus」の脆弱性に関する情報が公開されました。Lhaplus はファイルを圧縮・展開するために用いられる無料のソフトウェアで、このたび公開された脆弱性は、旧バージョンの Lhaplus（1.73 以前）では、細工されたアーカイブ（ZIP）を処理するとユーザの意図しないファイルが生成されるという問題です。開発者のSchezo氏が2017年5月に公開した Version 1.74 ですでに修正対応はなされていますが、Lhaplusは一般の利用者も多いため、JVNでの公開を機に、本脆弱性を発見したエンジニアの立場から具体的に何が問題なのか、利用者はどうすればよいかを解説します。

旧バージョンの「Lhaplus」に脆弱性、その問題と対策を脆弱性発見者が解説（JVN#57842148） | セキュリティ対策のラック