2007年06月26日

圧縮解凍ソフト「+Lhaca」にXPでバックドアを開く恐れのある脆弱性が見つかる

ファイル圧縮ソフト「+Lhaca」に脆弱性、XPでバックドアを開く可能性も

 シマンテックは6月26日、圧縮形式のLZHファイルに注意を呼びかけるセキュリティ情報を発表した。これは、6月22日に日本のユーザーから提出されたLZHファイルに、疑わしい点が明らかになったというもの。

 提出されたファイルを検証したところ、複数のNOPスレッド、シェルコードに似たコードブロック、暗号解読用コード、エンコードされた実行ファイルが圧縮ファイル自体に入っており、ファイルフォーマットを悪用する際に必要な構成要素のすべてが含まれていることが判明した。(後略)

元記事:CNET Japan


( ・ω・)ノというわけでようやく復活ですよー。
いやはやPCが壊れて大変でありました、結局修理に出した訳なんですがなかなか帰ってこない(かれこれ2週間程経つけどもまだ帰ってこない)ので、結局新しいのを買ってしまいましたー。
というわけで、この週末あれこれと調整その他をいたしましてようやくblogの更新ができるまでになったと言うわけでありますよ。
で、更新再開第1回目はLZH形式の圧縮ファイルに要注意と言う話がシマンテックの方から発表されたという話でありますよ。

ヾ(´ω` )6月22日にシマンテックさんの方に日本のユーザーから提出されたLZH形式の圧縮ファイルを検証したところ複数のNOP(No Operation)スレッドや、シェルコードに似たコードブロック、暗号解読用コード、エンコードされた実行ファイル等が圧縮ファイル自体に入っているそうで、まぁ早い話がファイルフォーマットを悪用する際に必要な要素がすべてこのLZHファイルに含まれていたと言うわけでありますねー。
で、この悪質なLZHファイルに利用されそうな脆弱性を持ったソフトがあるかどうかと言うのがこうなってくると問題になるわけなんですが、シマンテックさんのSecurity Responseチームに所属している末長政樹氏の初期分析によってどうやら圧縮ソフト「+Lhaca デラックス版バージョン1.20」がこの悪質なLZHファイルに利用される脆弱性を持っている事が判明したと言うわけでありますね。

( ・ω・)ノこの「+Lhaca デラックス版バージョン1.20」を使ってこの悪質なLZHファイルを解凍すると、システムフォルダにバックドアを仕掛けて、別のLZHアーカイブを保存して後で悪用できるようにすると言う事ですよ。
さらにこのLZHアーカイブには一太郎形式の無害なドキュメントが開いて、ユーザーが疑問を抱かないようにしていると言う事でありますよ。
この脆弱性はいわゆる「スタックバッファオーバーフロー」の脆弱性だそうで、文字列の長さの確認を適切に行わないstrcpy()の呼び出しが原因だと言う事でありますよ。
で、まだ「Lhaca」のこの脆弱性を防ぐためのパッチは提供されていないと言う事でありますので、見知らぬ人からのメールの添付ファイルや不審なファイルは開かないようにした方が無難でありますのぉ。

ヾ(´ω` )シマンテックさんの方ではこの「Lhaca」の脆弱性を突いて攻撃を仕掛ける悪質なLZHファイルの「トロイの木馬」を「Lhdropper」と命名したということでありますよ。
「Lhaca」も「一太郎」もLZH形式の圧縮ファイルも主に日本で利用されていると言う事で、このトロイの木馬を作成したのがどこの誰かはわかりませんが、日本のユーザーを標的にしたものであるのは確かみたいですね。
一太郎は特に日本のお役所関連では使ってる所が結構あるそうですから、用心しないとですよねー。

参考ページ
Symantec(アメリカ)
Symantec Security Response Weblog: Beware of LZH

ITmediaニュース
Lhacaに未パッチの脆弱性、悪用トロイの木馬も出現
@IT
「LZHファイルに注意」、シマンテックが警告
INTERNET Watch
圧縮・解凍ソフト「+Lhaca」に脆弱性、バックドアが開かれる恐れ
ITPro
あの「Lhaca」がアブない、日本標的のゼロデイウイルス発見


  
  


posted by Giselle at 23:59| Comment(2) | TrackBack(0) | ネット・コンピュータ関連 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
うはー、知りませんでした!
まぢ?まぢ?ラカったら有名ですからねぇ。
確かに他のものに比べて狙われる可能性は高かったですが。。。

うちは面倒にもバラバラいろんなものが入ってるんですが
それがバックドア回避になるとは。

それにしても、バックドアっていわれると
マトリックスを思い出すんですが(笑)
Posted by なきうさ at 2007年06月27日 22:35
>なきうささん
( ・ω・)ノそーなんですよー。
まぁ、うちは解凍は「ホットコーヒーおひとつですね?」で、圧縮は「Lhaplus」なんですけどねーw
「Lhaplus」は解凍だってできるんだけど、「ホットコーヒーおひとつですね?」のアイコンが好きで使ってますw

マトリックスもだんだん懐かしいモノの部類にw
Posted by Giselle at 2007年06月28日 22:14
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック
いただいたトラックバックは、spamトラックバック排除の為にすぐには表示されません。管理者による承認後表示されます

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は180日以上新しい記事の投稿がないブログに表示されております。