アカウント名:
パスワード:
ここが受理してれば対応はされたはず…ということですかね。
何か勘違いをなさっているような気が。
LHA書庫を扱う際、1.大きなヘッダによるバッファオーバーフロー2.バッファオーバーフロー回避の結果起こる検疫通過の2つの脆弱性があり、バッファオーバーフローについては、CVE-2004-0234 [mitre.org] 等で既に脆弱性として扱われています。
私が問題と言っているのは、検疫通過の方です。これはアンチウィルス限定の脆弱性であり、一般の解凍ソフトでは問題になりません。検疫通過はアンチウィルス製品メーカー以外では対応できないので、一般の解凍ソフト作者への働きかけは関係無い話です。
これって、アンチウィルス製品メーカの対策って2つありますよね?
1.LHA書庫を全て検閲する(どんなヘッダであっても、無視せずに解凍して中身をチェックする)2.LHA書庫を"対応書庫ファイルから外す"# 「きちんと検閲する」or「そもそも検閲しない」
いくつかのアンチウィルス製品メーカのサイトを探してみましたが、具体的にどの圧縮形式に対応しているかわかりませんでした。ので、そこをつまびらかにすれば、「LHAの中身は探さないんだ=やばいかも」とユーザにわかるようになる気が。# それこそ超マイナーな圧縮形式には対応してらんないでしょうし。
問題の本質は一見LHA書庫の中身も検閲しているように見えるけれども、すり抜けているってところですよね。何を調べて、何を調べていないのか、きちんと明示しなきゃいかん、みたいな風潮になると良いなあ:-P
どうかなあ。それはアンチウイルスに対する期待が大きすぎるんじゃないかな?「UPXでのパックに対応している」と書いてあれば、それは全てのUPXをサポートすべきだと思う。
でも「LZHの自己解凍モジュール形式には対応していない(or 対応リストに載っていない)」という対応は十分アリだと思う。使わなきゃ良いだけの話なので。
怪しげな実行ファイルは実行しないとか、安全が確保されていない圧縮形式で保管はしない・受け取らないとか、そういう対策をとれるからねー# その意味で、今回のLHAは使わないようにしようってのは悪くない対応なのかも?
あの、どうでもいい突っ込みかもですけど、s/検閲/検疫/gでは?#それとも、ちゃんと意味がある?
普通、アンチウイルスソフトで検疫というと見つけたウイルス等の隔離の意味で使っているんじゃないかな?だから調べるという意味で検閲と言っているのではないかと#わかんないけど
2.は対策じゃないでしょう。
日本向けに販売しておいて、日本でそれなりのシェアを持つ圧縮形式に対応せず、「ウィルス検出率○○%!」とか謳うのは詐欺じゃないですか?
調べることが出来ないファイルを、手段があるにもかかわらず面倒だからと除外しておいてまともなアンチウィルスソフトを名乗れるものなのでしょうか?アプリの機能としてもだが、メーカーの対応としても。
#一太郎とLHA、それぞれのジャンル内でのシェアはどっちが大きいんだろう?#OOoでもいいけど。
> IPAの会長が誰かご存知ですか?
IPA理事長の名前でググる [google.co.jp]と。。。
IPA、、、更新しなきゃダメじゃないか。
とっくの昔から国際ビジネスの場では英語標準でしょ。ビジネスだけじゃない。音楽だって、J-POPだのJ-ROCKだの頭にJ-がつくようなジャンルならともかく、クラシックだのトラッドだのをやりだせば英語がついてくるよ。海外の文献に触れたり海外ミュージシャンとコンタクト取ったり楽器の個人輸入したりいくらでも機会がある。
ガラケーが日本国内では有効なように日本語も日本国内では有効だってだけの話。
マイクロソフトはWIndows XPの頃に配布していたようですが、WIndows7対応とかServer製品でのサポートってしてるのかは知りません。
Windows Server 2008 R2 や Windows 7 は LHA 圧縮形式の "解凍" に標準で対応しています。
http://ja.wikipedia.org/wiki/LHA [wikipedia.org]
詳細はこのあたりをどうぞ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
つまり主犯はIPAなんだな? (スコア:5, すばらしい洞察)
ここが受理してれば対応はされたはず…ということですかね。
Re: (スコア:5, すばらしい洞察)
この騒動で一番重要な事は、「LZH終了のお知らせ」ではなく、アンチウィルスソフトウェアの脆弱性が放置されている点にあります。
海外のCVEはともかく、日本のIPAはLZH形式を知らないはずが無いわけです。日本国内でのLZHファイルの流通量についても知っている(少なくとも調査は容易に行える)はずなので、影響範囲は小さくないとすぐに分かったはずです。
さらに、他形式における対応(アンチウィルスの脆弱性として受理)を考えれば、IPAがアンチウィルスの脆弱性を受理しない事の方が不思議です。
なぜ脆弱性情報が受理されなかったのか、今後はそちらの方が問題になるのではないかと思います。
Re:つまり主犯はIPAなんだな? (スコア:1)
LHA形式の圧縮/復元ユーティリティを大手中の大手マイクロソフトも配布してはいますけども、たいていの配布元は個人です。
マイクロソフトはWIndows XPの頃に配布していたようですが、WIndows7対応とかServer製品でのサポートってしてるのかは知りません。
また、LHAユーティリティは窓の杜やベクターを通じて入手するケースが多いのでしょうけどそういうところにIPAは働きかけするんでしたっけね?
それに流通はほぼ日本が中心。海外ではLHA形式単体はマイナーなんですよね?
IPAとしては、多数の個人のソフトウェア開発配布元を人手の足りないIPA自身でコントロールしようと試みるのは荷が重いと判断した,
その結果不受理による切り捨てという顛末なのではないだろうか?
LHA形式を切り捨ててもzipもgzipもbz2も7zipも代替手段としてあるわけで、この辺のユーティリティソフトウェアは日本のIPAが真っ先に主導権
をとらなくても残りの世界中で誰かがイニシアティブを発揮してコントロールしてもらえることがわかりきっているわけですし。
Re:つまり主犯はIPAなんだな? (スコア:5, 参考になる)
何か勘違いをなさっているような気が。
LHA書庫を扱う際、
1.大きなヘッダによるバッファオーバーフロー
2.バッファオーバーフロー回避の結果起こる検疫通過
の2つの脆弱性があり、バッファオーバーフローについては、CVE-2004-0234 [mitre.org] 等で既に脆弱性として扱われています。
私が問題と言っているのは、検疫通過の方です。これはアンチウィルス限定の脆弱性であり、一般の解凍ソフトでは問題になりません。
検疫通過はアンチウィルス製品メーカー以外では対応できないので、一般の解凍ソフト作者への働きかけは関係無い話です。
対策2つありますよね?(Re:つまり主犯はIPAなんだな? (スコア:2)
これって、アンチウィルス製品メーカの対策って2つありますよね?
1.LHA書庫を全て検閲する(どんなヘッダであっても、無視せずに解凍して中身をチェックする)
2.LHA書庫を"対応書庫ファイルから外す"
# 「きちんと検閲する」or「そもそも検閲しない」
いくつかのアンチウィルス製品メーカのサイトを探してみましたが、具体的にどの圧縮形式に対応しているかわかりませんでした。
ので、そこをつまびらかにすれば、「LHAの中身は探さないんだ=やばいかも」とユーザにわかるようになる気が。
# それこそ超マイナーな圧縮形式には対応してらんないでしょうし。
問題の本質は一見LHA書庫の中身も検閲しているように見えるけれども、すり抜けているってところですよね。
何を調べて、何を調べていないのか、きちんと明示しなきゃいかん、みたいな風潮になると良いなあ:-P
Re:対策2つありますよね?(Re:つまり主犯はIPAなんだな? (スコア:1)
それによると、LHAによるパッキングには、テストしたアンチウィルスソフト10種類のうち9種類(オープンソースの ClamWin ver0.95.3 を除く)が対応しているそうです。
メジャーなアンチウィルスソフトはLHAによるパッキングに対応してるのですね。
もっとも、いくつかのアンチウィルスソフトでは検出ができないパッキング形式もあるようですし、アンチデバッキングツールで改変したウイルスに対しては完全な対応ができるソフトが皆無だったという結果から、アンチウィルスソフトを過信してはいけないのは当然でありますが。
Re: (スコア:0)
独自形式あるいは既存のものを少し変えたアーカイバを内包し、マルウェア本体一式をアーカイブして隠す、なんてことは普通にありえるでしょう。
たとえばUPXでパックされていたらウイルススキャンの対象から外れるなんて言われたら、そんなアンチウイルスソフトは使いたくなくなるでしょ。
LZHには自己解凍モジュール形式もあるのですから、それなりにサポートされてないとマズいと思いますよ。
Re:対策2つありますよね?(Re:つまり主犯はIPAなんだな? (スコア:2, 興味深い)
どうかなあ。それはアンチウイルスに対する期待が大きすぎるんじゃないかな?
「UPXでのパックに対応している」と書いてあれば、それは全てのUPXをサポートすべきだと思う。
でも「LZHの自己解凍モジュール形式には対応していない(or 対応リストに載っていない)」という対応は十分アリだと思う。
使わなきゃ良いだけの話なので。
怪しげな実行ファイルは実行しないとか、安全が確保されていない圧縮形式で保管はしない・受け取らないとか、そういう対策をとれるからねー
# その意味で、今回のLHAは使わないようにしようってのは悪くない対応なのかも?
Re: (スコア:0)
LGPLの7-zipのコードを含みながらリバースエンジニアリングを禁止するウイルスバスター2010のような商品もありますが
Re: (スコア:0)
3. 4KB以下のヘッダならチェックする。4KBを超えるのは弾く。
ってのは半分冗談だけど、実際問題、LZHを使うウィルスが流行ったら4KB超えるヘッダ(実際はヘッダに出るもっと限定的なパターンだろうけど)をマーカーにすればよいわけ。
で、脆弱性なんて見方の問題も大きいから、アンチウィルス製品メーカから見ると、
・4KBを超えるヘッダを扱えるアーカイバはチェックできないファイルを扱う脆弱性がある
・特に4KBを超えるヘッダを作るアーカイバは危険であり使わない事が推奨される
・4KBを超えるヘッダを持つLZH形式のファイルは安全であると確信できる場合を除き破棄すべきである
・LZH形式はヘッダの最大長が規定されていないため仕様に潜在的な(DoSなどの)脆弱性を持つ
とか言えるわけなんだよね。
Re: (スコア:0)
あの、どうでもいい突っ込みかもですけど、
s/検閲/検疫/g
では?
#それとも、ちゃんと意味がある?
Re:検閲? 検疫? (スコア:0)
普通、アンチウイルスソフトで検疫というと見つけたウイルス等の隔離の意味で使っているんじゃないかな?
だから調べるという意味で検閲と言っているのではないかと
#わかんないけど
Re: (スコア:0)
2.は対策じゃないでしょう。
日本向けに販売しておいて、日本でそれなりのシェアを持つ圧縮形式に対応せず、
「ウィルス検出率○○%!」とか謳うのは詐欺じゃないですか?
調べることが出来ないファイルを、手段があるにもかかわらず面倒だからと
除外しておいてまともなアンチウィルスソフトを名乗れるものなのでしょうか?
アプリの機能としてもだが、メーカーの対応としても。
#一太郎とLHA、それぞれのジャンル内でのシェアはどっちが大きいんだろう?
#OOoでもいいけど。
Re: (スコア:0)
過去にも誤認識でしたが書庫内のファイルを検知したことがありましたよ。
Re: (スコア:0)
Re:つまり主犯はIPAなんだな? (スコア:2, すばらしい洞察)
Re: (スコア:0)
#天下りならぬ天上りか :-)
Re: (スコア:0)
ほぼ日本限定の言語で表明してくるんだろうなぁ....という部分は苦笑する他ないかもね。
#突き詰めればそこに行き着くけど? 欧米賞賛主義の方は気づいてないかもしれないが。
Re: (スコア:0)
> IPAの会長が誰かご存知ですか?
IPA理事長の名前でググる [google.co.jp]と。。。
IPA、、、更新しなきゃダメじゃないか。
Re: (スコア:0)
とっくの昔から国際ビジネスの場では英語標準でしょ。
ビジネスだけじゃない。音楽だって、J-POPだのJ-ROCKだの頭にJ-がつくようなジャンルならともかく、クラシックだのトラッドだのをやりだせば英語がついてくるよ。海外の文献に触れたり海外ミュージシャンとコンタクト取ったり楽器の個人輸入したりいくらでも機会がある。
ガラケーが日本国内では有効なように日本語も日本国内では有効だってだけの話。
Re: (スコア:0)
Re:つまり主犯はIPAなんだな? (スコア:2)
しかも、各ジャンル(といっていいよな)に関係の深い言語があるのは当たり前で
たとえばキリスト教関係のことやってるとラテン語なんて死語がついてくるわけで。
その意味では、なにも英語が特殊な位置にあるわけではない。
Re:つまり主犯はIPAなんだな? [オフトピ、もしくは余計なもの] (スコア:3, 参考になる)
マイクロソフトはWIndows XPの頃に配布していたようですが、WIndows7対応とかServer製品でのサポートってしてるのかは知りません。
Windows Server 2008 R2 や Windows 7 は LHA 圧縮形式の "解凍" に標準で対応しています。
http://ja.wikipedia.org/wiki/LHA [wikipedia.org]
詳細はこのあたりをどうぞ。
Re: (スコア:0)
これが厄介かもしれません。すなわち、あくまで日本ローカルの問題として
認識され、国際的なアンチウィルスベンダは対応の優先度を下げてしまう可能性です。
(というか、こういった問題が長らく放置されてきたということは
そういうことなんだと思います)
IPAやJPCERTの「脆弱性」の定義はどうであれ、多くのアンチウィルスソフトが
細工されたLZHアーカイブを素通ししてしまう事態は現実的な脅威でしょう。
日本ローカルの問題だからこそ、IPAやJPCERTが騒がないといけないはずなのに、
脅威の存在さえ認めないというのは異常です。これを悪用したウィルス攻撃
が発生した場合、彼らの責任は重大でしょうね。