パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける」記事へのコメント

  • ここが受理してれば対応はされたはず…ということですかね。

    • by Claybird (25526) on 2010年06月06日 20時19分 (#1775573) ホームページ 日記
      アンチウィルスの脆弱性として扱われれば、メーカー各社は必死に修正するでしょう。

      この騒動で一番重要な事は、「LZH終了のお知らせ」ではなく、アンチウィルスソフトウェアの脆弱性が放置されている点にあります。

      海外のCVEはともかく、日本のIPAはLZH形式を知らないはずが無いわけです。日本国内でのLZHファイルの流通量についても知っている(少なくとも調査は容易に行える)はずなので、影響範囲は小さくないとすぐに分かったはずです。
      さらに、他形式における対応(アンチウィルスの脆弱性として受理)を考えれば、IPAがアンチウィルスの脆弱性を受理しない事の方が不思議です。

      なぜ脆弱性情報が受理されなかったのか、今後はそちらの方が問題になるのではないかと思います。
      親コメント
      • > アンチウィルスの脆弱性として扱われれば、メーカー各社は必死に修正するでしょう。

        LHA形式の圧縮/復元ユーティリティを大手中の大手マイクロソフトも配布してはいますけども、たいていの配布元は個人です。
        マイクロソフトはWIndows XPの頃に配布していたようですが、WIndows7対応とかServer製品でのサポートってしてるのかは知りません。
        また、LHAユーティリティは窓の杜やベクターを通じて入手するケースが多いのでしょうけどそういうところにIPAは働きかけするんでしたっけね?
        それに流通はほぼ日本が中心。海外ではLHA形式単体はマイナーなんですよね?
        IPAとしては、多数の個人のソフトウェア開発配布元を人手の足りないIPA自身でコントロールしようと試みるのは荷が重いと判断した,
        その結果不受理による切り捨てという顛末なのではないだろうか?
        LHA形式を切り捨ててもzipもgzipもbz2も7zipも代替手段としてあるわけで、この辺のユーティリティソフトウェアは日本のIPAが真っ先に主導権
        をとらなくても残りの世界中で誰かがイニシアティブを発揮してコントロールしてもらえることがわかりきっているわけですし。
        親コメント
        • 何か勘違いをなさっているような気が。

          LHA書庫を扱う際、
          1.大きなヘッダによるバッファオーバーフロー
          2.バッファオーバーフロー回避の結果起こる検疫通過
          の2つの脆弱性があり、バッファオーバーフローについては、CVE-2004-0234 [mitre.org] 等で既に脆弱性として扱われています。

          私が問題と言っているのは、検疫通過の方です。これはアンチウィルス限定の脆弱性であり、一般の解凍ソフトでは問題になりません。
          検疫通過はアンチウィルス製品メーカー以外では対応できないので、一般の解凍ソフト作者への働きかけは関係無い話です。

          親コメント
          • これって、アンチウィルス製品メーカの対策って2つありますよね?

            1.LHA書庫を全て検閲する(どんなヘッダであっても、無視せずに解凍して中身をチェックする)
            2.LHA書庫を"対応書庫ファイルから外す"
            # 「きちんと検閲する」or「そもそも検閲しない」

            いくつかのアンチウィルス製品メーカのサイトを探してみましたが、具体的にどの圧縮形式に対応しているかわかりませんでした。
            ので、そこをつまびらかにすれば、「LHAの中身は探さないんだ=やばいかも」とユーザにわかるようになる気が。
            # それこそ超マイナーな圧縮形式には対応してらんないでしょうし。

            問題の本質は一見LHA書庫の中身も検閲しているように見えるけれども、すり抜けているってところですよね。
            何を調べて、何を調べていないのか、きちんと明示しなきゃいかん、みたいな風潮になると良いなあ:-P

            親コメント
            • 手元にあるハッカージャパン 2010年1月号がアンチウィルスソフトの実力テストをやってるのですが、ハッカージャパン誌らしく、パッキングしたりアンチデバッキングツールで改変したウイルスについてもテストをしています。
              それによると、LHAによるパッキングには、テストしたアンチウィルスソフト10種類のうち9種類(オープンソースの ClamWin ver0.95.3 を除く)が対応しているそうです。
              メジャーなアンチウィルスソフトはLHAによるパッキングに対応してるのですね。

              もっとも、いくつかのアンチウィルスソフトでは検出ができないパッキング形式もあるようですし、アンチデバッキングツールで改変したウイルスに対しては完全な対応ができるソフトが皆無だったという結果から、アンチウィルスソフトを過信してはいけないのは当然でありますが。
              親コメント
            • by Anonymous Coward
              まともなアンチウイルス系ソフトならば、世界中のありとあらゆるアーカイブ形式をサポートすべきでしょう。
              独自形式あるいは既存のものを少し変えたアーカイバを内包し、マルウェア本体一式をアーカイブして隠す、なんてことは普通にありえるでしょう。
              たとえばUPXでパックされていたらウイルススキャンの対象から外れるなんて言われたら、そんなアンチウイルスソフトは使いたくなくなるでしょ。
              LZHには自己解凍モジュール形式もあるのですから、それなりにサポートされてないとマズいと思いますよ。
              • どうかなあ。それはアンチウイルスに対する期待が大きすぎるんじゃないかな?
                「UPXでのパックに対応している」と書いてあれば、それは全てのUPXをサポートすべきだと思う。

                でも「LZHの自己解凍モジュール形式には対応していない(or 対応リストに載っていない)」という対応は十分アリだと思う。
                使わなきゃ良いだけの話なので。

                怪しげな実行ファイルは実行しないとか、安全が確保されていない圧縮形式で保管はしない・受け取らないとか、そういう対策をとれるからねー
                # その意味で、今回のLHAは使わないようにしようってのは悪くない対応なのかも?

                親コメント
              • by Anonymous Coward
                ライセンスの問題もあって困難でしょう
                LGPLの7-zipのコードを含みながらリバースエンジニアリングを禁止するウイルスバスター2010のような商品もありますが
              • by Anonymous Coward
                っていうわけでもう一つのアンチウィルス製品メーカの対策
                3. 4KB以下のヘッダならチェックする。4KBを超えるのは弾く。

                ってのは半分冗談だけど、実際問題、LZHを使うウィルスが流行ったら4KB超えるヘッダ(実際はヘッダに出るもっと限定的なパターンだろうけど)をマーカーにすればよいわけ。

                で、脆弱性なんて見方の問題も大きいから、アンチウィルス製品メーカから見ると、
                ・4KBを超えるヘッダを扱えるアーカイバはチェックできないファイルを扱う脆弱性がある
                ・特に4KBを超えるヘッダを作るアーカイバは危険であり使わない事が推奨される
                ・4KBを超えるヘッダを持つLZH形式のファイルは安全であると確信できる場合を除き破棄すべきである
                ・LZH形式はヘッダの最大長が規定されていないため仕様に潜在的な(DoSなどの)脆弱性を持つ
                とか言えるわけなんだよね。
            • by Anonymous Coward

              あの、どうでもいい突っ込みかもですけど、
              s/検閲/検疫/g
              では?
              #それとも、ちゃんと意味がある?

              • by Anonymous Coward

                普通、アンチウイルスソフトで検疫というと見つけたウイルス等の隔離の意味で使っているんじゃないかな?
                だから調べるという意味で検閲と言っているのではないかと
                #わかんないけど

            • by Anonymous Coward

              2.は対策じゃないでしょう。

              日本向けに販売しておいて、日本でそれなりのシェアを持つ圧縮形式に対応せず、
              「ウィルス検出率○○%!」とか謳うのは詐欺じゃないですか?

              調べることが出来ないファイルを、手段があるにもかかわらず面倒だからと
              除外しておいてまともなアンチウィルスソフトを名乗れるものなのでしょうか?
              アプリの機能としてもだが、メーカーの対応としても。

              #一太郎とLHA、それぞれのジャンル内でのシェアはどっちが大きいんだろう?
              #OOoでもいいけど。

            • by Anonymous Coward
              なんか思い込みだけで書いてますが、少なくともAVGはLZH書庫内のファイルまで検索されます。
              過去にも誤認識でしたが書庫内のファイルを検知したことがありましたよ。
        • マイクロソフトはWIndows XPの頃に配布していたようですが、WIndows7対応とかServer製品でのサポートってしてるのかは知りません。

          Windows Server 2008 R2 や Windows 7 は LHA 圧縮形式の "解凍" に標準で対応しています。

          http://ja.wikipedia.org/wiki/LHA [wikipedia.org]

          詳細はこのあたりをどうぞ。

          親コメント
          • by Anonymous Coward
            正確には、Win7/Server2008の日本語版のみLZHの解凍に標準対応したのですが、
            これが厄介かもしれません。すなわち、あくまで日本ローカルの問題として
            認識され、国際的なアンチウィルスベンダは対応の優先度を下げてしまう可能性です。
            (というか、こういった問題が長らく放置されてきたということは
             そういうことなんだと思います)

            IPAやJPCERTの「脆弱性」の定義はどうであれ、多くのアンチウィルスソフトが
            細工されたLZHアーカイブを素通ししてしまう事態は現実的な脅威でしょう。
            日本ローカルの問題だからこそ、IPAやJPCERTが騒がないといけないはずなのに、
            脅威の存在さえ認めないというのは異常です。これを悪用したウィルス攻撃
            が発生した場合、彼らの責任は重大でしょうね。
      • > なぜ脆弱性情報が受理されなかったのか

        その脆弱性を利用しているユーザーに配慮してのことかもしれません。
      • by Anonymous Coward

        この騒動で一番重要な事は、「LZH終了のお知らせ」ではなく、アンチウィルスソフトウェアの脆弱性が放置されている点にあります。

        だったら、
         「LZH 書庫利用は お勧めしません」
        じゃなくて
         「そのようなアンチウィルスソフトウェアの利用を中止しましょう」
        にしなくちゃ。

        #どのアンチウィルスソフトウェアだったら使えるんだろう?

      • by Anonymous Coward

        余程の騒ぎにならない限り基本的に日本独自では動かないんじゃないですかね。
        (Winnyとかみたいな?)
        もしそうだとするんならJVNなんて無くてもいい。
        海外の情報だけ見てても同じことなんだから。

      • by Anonymous Coward

        > アンチウィルスの脆弱性として扱われれば、メーカー各社は必死に修正するでしょう。
        ガラパゴスCERTにしか受理されてないマイナーな問題なんか無視されるだけだったりして。
        そういう意味でもとっととbugtraqにゼロデイ投げたりするほうが近道だと思いますね。

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...