10/06/06 19:28:59 s4o3ycf50
・簡単にまとめると
圧縮ファイルがアンチウィルスのチェックを逃れる脆弱性が見つかる
→原理的に同じ物だが、ZIP/CAB/7z等は脆弱性として受理、 LZHは非受理
→アンチウィルスにLZHの検査ができない脆弱性があるため、LZHは使うべきではない
・もう少し詳しく
2006 年 URLリンク(www2.nsknet.or.jp)
2010 年 URLリンク(www2.nsknet.or.jp)
脆弱性1.(バッファオーバーフロー)
いくつかのソフトウェアについて、大きなヘッダを持つLZH書庫(仕様上は正しい)を読み込むとバッファオーバーフローが発生する脆弱性が見つかる。
脆弱性2.(検疫通過)
上記のバッファオーバーフローが起こらないソフトウェアの中には、大きなヘッダを持つ書庫ないし格納ファイルを無視するものがある。
アンチウィルス製品等の中にも問題書庫を無視するものがある。このためセキュリティ対策をすり抜ける書庫が作成可能であると報告される。
このことをもって、Micco氏から
「上記の例を組み合わせるだけでも, 『多くの対策ソフトの検疫をすり抜ける, バッファーオーバーフローと格納ファイルによる二通りの攻略方法を施した書庫』が出来上がってしまいます。」
と報告されている。
この脆弱性2.(検疫通過)について、同様の脆弱性は、LZH形式以外にもARJ形式やZIP形式等についても発生しうる。
ZIP/CAB/7z形式等についてはCVE-2010-0098をはじめ、脆弱性として認識された。しかし、LZH形式については脆弱性報告は不受理であった。
アンチウィルス製品は2006年の報告以降対応されず、JVN / IPAが脆弱性として(なぜか)受理しなかったため、今後も対応される見込みは薄い。
したがって、今後も各種アンチウィルス製品にはLZHが検査できない脆弱性があるため、Micco氏はLZHの使用中止を呼びかける。
加えて、Unlha32.dll/UNARJ32.DLL /LHMeltの開発中止に至る。