[FFRRA-20071025-2] 一太郎2007 JSTARO4.OCXのリッチテキストファイル処理におけるwcscpyバッファオーバーフロー脆弱性

■ 報告日:
2007年8月9日

■ 公開日:
2007年10月25日

■ ソフトウエア名:
一太郎ビューア
一太郎11
一太郎12
一太郎13
一太郎2004
一太郎2005
一太郎文藝
一太郎2006
一太郎ガバメント2006
一太郎2007
一太郎ガバメント2007
一太郎2007体験版
一太郎Lite2
一太郎 for Linux

■ ベンダー:
ジャストシステム
http://www.justsystem.co.jp

■ Upcoming Advisory 番号:
FFRUA-20070809-2

■ 概要:
フォティーンフォティ技術研究所リサーチチームは、一太郎2007、および一太郎ビューアのリッチテキストファイル処理にバッファオーバーフロー脆弱性を発見しました。細工された文書ファイルをこの文書作成ソフトウエアで開くことで、あるいは、細工された文書ファイルが置かれたwebサイトをInternet ExplorerやFirefox等のwebブラウザで閲覧することで、文書ファイル中に記述された任意のコードを実行させる事ができます。

■ 詳細:

リッチテキストファイルの"fcharset0"フィールドに長いフォント名(64KB程度)を指定し、一太郎に読み込ませることでバッファオーバーフローを発生させることができます。また、リッチテキストファイルの拡張子をjtdとすることで、webブラウザのプラグイン経由、またはActiveXコントロール経由(clsid:B7329235-1D72-4037-B41B-DAA44B9A12F7)でこの脆弱性を攻略することができます。

バッファオーバーフロー脆弱性は、JSTARO4.OCXに存在します。


JSTARO4.OCX
Base Address : 02EF0000

.text:03048512 push dword ptr [esi+1E20h]
.text:03048518 lea eax, [esp+103Ch]
.text:0304851F jmp short loc_304852E
.text:03048521
.text:03048521 loc_3048521:
.text:03048521 push dword ptr [esi+1E20h]
.text:03048527 lea eax, [esp+0C3Ch]
.text:0304852E
.text:0304852E loc_304852E:
.text:0304852E push eax
.text:0304852F call ds:wcscpy

0304852Fでwcscpy()が呼び出されています。コピー元バッファはファイル中に指定されたフォント名文字列のポインタ、コピー先バッファはスタック上に確保されたローカルバッファです。wcscpy()が呼び出される前に適切なバウンダリチェックが行われていないため、コピー先バッファをページバウンダリまでユーザーが指定した文字列で埋めつくす事が可能です。このため、例外ハンドラポインタの上書きにより任意のアドレスにジャンプさせる事が可能です。

■ 深刻度:
高

■ 対象OS:
Microsoft Windows

■ 脆弱性情報の取り扱い:
本脆弱性は、情報処理推進機構(IPA)の「情報セキュリティ早期警戒パートナーシップガイド」に従って処理されました。
http://www.ipa.go.jp/security/vuln/

■ 対策:
ベンダーが提供するパッチを適用してください。
http://www.justsystems.com/jp/info/pd7004.html

■ 関連情報:
http://jvn.jp/jp/JVN%2332981509/index.html
http://www.ipa.go.jp/security/vuln/200710_Ichitaro.html
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_50495547.html

■ 発見者
鵜飼裕司

■ より詳細な情報:

FFR Prime Analysisサービスでは、

- 本脆弱性のより詳細な分析
- 攻撃案定性分析
- パッチ差分解析
など、より詳細な情報を提供しています。

http://www.fourteenforty.jp/services/index.htm

■ お知らせ
リサーチエンジニア、ソフトウエアエンジニアの募集を行っています。
http://www.fourteenforty.jp/recruit/index.htm