パスワードを忘れた? アカウント作成
232658 journal

Claybirdの日記: 「アンチウィルスソフトがLZHを検査しない脆弱性」続報

日記 by Claybird

「アンチウィルスソフトがLZHを検査しない脆弱性」について、ニュースサイトで話題になったが、それより後の動きについてまとめる。

・おさらい
私の前回の日記 http://srad.jp/~Claybird/journal/508709 および掲載された記事 http://srad.jp/security/article.pl?sid=10/06/07/0335205 参照。

    Unlha32.dll(*1)作者のMicco氏、細工を施したLZHファイルがアンチウィルスのチェックを逃れる脆弱性を発見
→原理的に同じ物だが、ZIP/CAB/7z等は脆弱性として受理、 LZHは非受理
→対ZIP等については修正された脆弱性が、対LZHでは残ったままに
→アンチウィルスにLZHの検査ができない脆弱性があり、このままでは悪用されてしまう
→LZHの使用停止呼びかけ

一部で誤解があったため強調しておく。これはLZH形式やUnlha32.dllの脆弱性ではない。アンチウィルスの脆弱性である。

*1: Unlha32.dll = Windows上でLZH形式を扱うための事実上の標準ライブラリ

・アンチウィルスの脆弱性に関連する前後の流れ
2010年 4月: アンチウィルスがLZHを検査しない脆弱性をJVNに報告
2010年 6月 2日: JVNから不受理との返答
2010年 6月 ~5日: Micco氏によるLZH使用停止の呼びかけ
2010年 6月 6日~: 各ニュースサイトで話題に
2010年 6月 7日: Micco氏、同氏の日記にて「なにやら微妙に趣旨が追加・変更されて JVNVU#545953 の追加情報として扱う形に落ち着いたようです」との追加情報を発表。
2010年 6月24日: JVNVU#545953にJPCERT/CC からの補足情報が追加される。 以下に、JVNVU#545953への追加内容を引用する。

本件は、アンチウイルス製品の脆弱性であり、圧縮アーカイバ製品や圧縮形式の脆弱性ではありません。
なお、CERT-FI のアドバイザリには、発見者が本脆弱性を発見した際に調査を行った圧縮形式として、ZIP, CAB, GZIP, 7Z および RAR が記載されていますが、これら 5形式のみならず LZH や ACE など、他の圧縮形式でも同じ問題が発生する可能性があります。

同日、Micco氏は日記にてコメントを発表。以下にコメント内容を引用する。

あの一文を載せることが「JVNVU#545953 の追加情報として扱う」ということだと言うのであれば, はっきり言って必要ありませんので削除して下さい。 あれでは「脆弱性があるかもしれないね」という方向で受け取る方のほうが圧倒的に多いでしょうから, ないほうが よほどマシです。

・個人的な意見
Micco氏が各種アンチウィルスにおいて検査すり抜けの脆弱性を確認しているので、可能性がある、という弱い記述ではなく、せめて「報告されている」等としておいた方がよいのではないかと思う。
今のままでは注意喚起として不十分である。
本来なら、脆弱性発生条件の確認や追試を行い、問題発生の有無を断言すべきであろう。不正確な情報は混乱を招くだけである。

・Unlha32.dll関連の情報
2010年 6月 2日: Micco氏、Unlha32.dll開発(新型・新機能追加)停止を発表
2010年 6月 7日: Micco氏、Unlha32.dllの64bit版は開発続行と追記。64bit版は既に開発を約束していたため。

[お詫び]前回のタレコミ時タイトルを「Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ」としてしまいました。このため、多数の人に「LZH形式/Unlha32.dllに脆弱性があるのか?」との誤解を与えてしまい、誤った情報が一部で広まってしまった事をお詫び申し上げます。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...