[FFRRA-20080107] ジャストシステム基本クラスライブラリにおけるバッファオーバーフロー脆弱性

■ 報告日:
2007年12月16日

■ 公開日:
2008年1月7日

■ ソフトウエア名:
・一太郎 2007/2006/2005/2004/13/12/11/10/9
・花子 2007/2006/2005/2004/13/12/11/10/9

などを含む多数のジャストシステム製品
詳細は以下を参照してください
http://www.justsystems.com/jp/info/pd8001.html

■ ベンダー:
ジャストシステム
http://www.justsystem.co.jp

■ Upcoming Advisory 番号:
FFRUA-20071216

■ 概要:
フォティーンフォティ技術研究所リサーチチームは、一太郎2007などに含まれるジャストシステム基本クラスライブラリJSFC.DLLに、バッファオーバーフローによる関数ポインタ上書き脆弱性を発見しました。細工された文書ファイル(jtdファイルなど)を開くことで、あるいは、細工された文書ファイルが置かれたwebサイトをInternet ExplorerやFirefox等のwebブラウザで閲覧することで、文書ファイル中に記述された任意のコードを実行させる事ができます。

■ 詳細:
バッファオーバーフローは、JSFC.DLLの以下の関数に存在します。

.text:5F810885 ; int __stdcall JSFC_4817_Overflowfunc(void *,size_t)
・・・中略・・・
.text:5F81089D mov eax, [edi+24h]
.text:5F8108A0 mov esi, [edi+28h]
.text:5F8108A3 sub esi, eax
・・・中略・・・
.text:5F8108AE push esi ; size_t
.text:5F8108AF push eax ; void *
.text:5F8108B0 push [ebp+arg_0] ; void *
.text:5F8108B3 call memcpy

memcpy()のサイズであるesiの値は、[edi+28h]と[edi+24h]の差で計算されますが、不適切な値を[edi+28h]にセットできるため、結果として不適切なサイズをmemcpy()に渡すことができます。メモリコピー先は静的に確保されているstatic領域ですが、この領域に、後に使用される関数のポインタが存在しています。メモリコピー元はファイル中のデータであるため、任意の値を関数ポインタに指定することができます。従って、任意のインストラクションポインタを指定することができ、安定的に任意のコードを実行できます。

■ 深刻度:
高

■ 対象OS:
Microsoft Windows

■ 脆弱性情報の取り扱い:
本脆弱性は、情報処理推進機構(IPA)の「情報セキュリティ早期警戒パートナーシップガイド」に従って処理されました。
http://www.ipa.go.jp/security/vuln/

■ 対策:
ベンダーが提供するパッチを適用してください。
http://www.justsystems.com/jp/info/pd8001.html

■ 関連情報:
http://jvn.jp/jp/JVN%2308237857/index.html
http://jvndb.jvn.jp/contents/ja/2008/JVNDB-2008-000001.html
https://www.ipa.go.jp/security/vuln/documents/2008/200801_JustSystem.html

■ 発見者
鵜飼裕司

■ より詳細な情報:

FFR Prime Analysisサービスでは、

- 本脆弱性のより詳細な分析
- 攻撃案定性分析
- パッチ差分解析
など、より詳細な情報を提供しています。

http://www.fourteenforty.jp/services/index.htm

■ お知らせ
リサーチエンジニア、ソフトウエアエンジニアの募集を行っています。
http://www.fourteenforty.jp/recruit/index.htm