futuremix

ITmedia エンタープライズの記事から。先月末から話題になっていた、「ディレクトリまたぎ解凍 (Directory Traversal)問題」いわゆる、 圧縮ファイル解凍の脆弱性を利用するウィルスが現われたそうです。

そのウィルスは、Winny のネットワーク上で拡散するワーム（正確にはトロイの木馬らしい）で、Nullporce といわれるものの亜種だそうです。圧縮ファイルを解凍するとスタートアップに実行ファイルが解凍されるようになっているため、次回の Windows 起動時に Nullporce が自動実行されてしまう仕組みのようです。

Nullporce は Winny ネットワークを利用して拡散するので、Winny を使用していなければ、ほとんど出会うことはないでしょうが、同様の手法を使ったウィルスが広まらないとも限りません。すでに主要な解凍ソフトは対応していますので、バージョンアップしましょう。

• Lhasa(0.18 で対応。最新版は 0.19)
• +Lhaca(0.74, 0.95, 1.19 で対応済)
• Unlha32.dll(1.90h で対応。最新版は 1.91d)

その他のものについては、matcha139 – 圧縮ファイル解凍の脆弱性 に詳しくまとめられています。このまとめによると、統合アーカイバプロジェクトの 1 つである Unzip32.dll については、対応予定であるもの、5年近く放置された状態が続いているため、対応されない可能性も高いと思われます。7-zip32.dll と 偽Unzip32.dll を利用するのがよいかもしれません。

また、UNIX 版の Lha では、この問題は CAN-2004-0235 として既に取り上げられていて、ディストリビューションによりますが、修正版はリリース済みです。

8月18日追記

Unlha32.dll 1.91d には、不正パスチェックの際にバッファオーバーフローしてしまうバグが見つかったそうです。バッファオーバーフローを利用した攻撃が可能かどうかは不明です。利用者は 1.91e にアップデートしましょう。