アンチウイルスソフトの LZH 形式や ARJ 形式のファイルにおける CVE-2004-0234 の対応について、ファイルヘッダの読み込みで (1) 固定サイズのバッファでヘッダを読み込んでいるため、バッファから溢れた部分を無視する、(2) ファイルヘッダの一部でしかチェックを行っておらず全てのヘッダのチェックを行っているわけではない、という実装があるためにアンチウイルスソフトでの検出漏れが発生するとのこと。

Symantec には報告を行ってあるのですが， 今のところ回答がありません。 本国へ LZH 書庫についての詳細を説明したとしても『？』となりそう (以前に別のベンダで経験あり) だったので， 国内へ報告したのが敗因だったのかしら…？

状況を説明するだけでなく、PoC を作って送ってやらないと対応しにくいのかも知れませんね。
それはそうと、「アンチウイルスソフトで検出できない方法」とかを考え付いても、IPA的には脆弱性として受け付けてくれないのが悲しいところ。それどころか、特定環境ではアンチウイルスソフトが DoS するという状態でさえも不受理になったという噂。こういうのを代表して取りまとめて各アンチウイルスソフトのベンダに連絡とって調整してくれる機関があるとちょっとだけ嬉しいんですけど。うーん…。