2004年08月20日

圧縮ファイルの穴

  • ぬるぽウイルスでは、この攻撃者が指定するフォルダが「Windowsのスタートアップフォルダ」となっていた。これにより、ウイルスプログラム本体がスタートアッププログラムに登録され、Windows起動時に自動的にウイルスプログラムが実行されるといった具合に悪用されてしまった。
やっぱり出てきましたね。

繁殖元は今のところP2Pだけのようですが、圧縮ファイルはあんまり用心しないで解凍しちゃうことがほとんどなんであわてて脆弱性対策取りました。
(といってもメイン解凍ツールのLhaplusを対応版に切り替えて、統合アーカイバDLL関連をcaldixで最新版に差し替えただけですが(^^;)

でも、どうもUnzip32.DLLは脆弱性に対応する予定がないらしいので、これはひとまず

を手動でインストールしました。

cab32.dllも問題あるらしいですが、別の人が作った対策物も今のところ急場のようなのでちょっと様子見中。
(溶かす場合はLhaplusを使おうかと。)

追記 2004年8月21日 13時5分34秒
 Verも着々と上がっているようなので偽cab32.dll、本日から使わせて頂いてます(^^;
 あと、unrar32.dllもcaldixではまだ更新されないようなので手動入れ替えの必要がありそうです。
 (と言ってもcabと違ってrarはファイルの仕様が面倒なので脆弱ファイル作るの大変そうですが<バイナリエディッタで作ろうかと思いましたが途中であきらめました(笑))

追記 2004年8月23日 0時9分25秒
 偽cab32.dllの方が専用ページができたようなのでリンク張り替え
 それから、一応メモとしてこっちもリンク
 bga32.dllのwrappar

なお、最新情報は下記のサイトを参照の事

そういえばDLL系は対策取ってくれるものと、対策する人間が居ないものと、対策する気がないのもがありますが後者二つは困りもの。

っていうか世の中には

  • 作者は「脆弱性ではない。中身を見るという選択肢もあるのにいきなり解凍する奴が悪い。添付ファイルをいきなり実行するのと同レベル」と主張しているので(arcdev:02080)、
という意見を持っている人がいるようですが、最終的にファイルを人間の想定外のところに配置するのは解凍ソフトなんだから、それは解凍ソフト自体の脆弱性と呼ぶべきものだし、人間の作業を減らす目的で一発解凍ソフト入れているのにそれが信頼出来ないんじゃそもそも使い物にならないって事に気がついて欲しいところ。

まぁ、アーカイバのDLL本体には圧縮解凍関係の最低限の機能だけがあれば良いような気もするので、誰か統合wrapperプロジェクトでも立ち上げて安全にDLLを使うためのDLLセットを作ってくれないかな(笑)

あと、ダウンロードしてきたファイルを一気に解凍するときに重宝しているMelt itは情報がなかったので手元で試験ファイル作って試して見たところどうやらDLL依存のようです。
(CABしか試してませんが見事にスタートアップに解凍されました(^^;)

Posted by Takuchan at 2004年08月20日 13:40 | トラックバック(0)

「最終的にファイルを人間の想定外のところに配置するのは解凍ソフトなんだから、それは解凍ソフト自体の脆弱性と呼ぶべきもの」
とありますが,lzh など,上位のディレクトリに遡るようなパスでの格納を仕様上OKとしている書庫形式もありますので,一概に脆弱性といってしまうのはどうかと.ただまあ,その仕様が頻繁に使われているかと言えばアレなんですが,全く無くも無いようなんで...

Posted by: 「別の人が作った対策物」を作っている人 at 2004年08月21日 01:14

偽cab32.dll開発お疲れ様です∠( ̄∩ ̄) ビシッ

今日から使わせて頂いてます。
(手元で作った脆弱CABもきちんと../が除去された状態で展開されるようになりました)

lzhの方は仕様上OKなのは知ってますが、仕様自体が古(ry

仕様上はOKなのでdllレベルで実装するのはいいと思いますが、スタートアップ以外にも標準ではファイルがないけど置くだけで効果が発揮される設定ファイルなんかもあるので、やっぱりデフォでは禁止になるような仕掛けが欲しいところです。

Posted by: Takuchan at 2004年08月21日 13:01