[FFRRA-20080428] Lhaplus Zooファイル処理におけるヒープオーバーフロー脆弱性

■ 報告日:
2008年2月13日

■ 公開日:
2008年4月28日

■ ソフトウエア名:
Lhaplus Ver 1.56

■ Upcoming Advisory 番号:
FFRUA-20080213

■ 概要:
フォティーンフォティ技術研究所リサーチチームは、国内で広く利用されているファイル圧縮展開ソフトウエア「Lhaplus」のZOOファイル展開処理にヒープオーバーフロー脆弱性を発見しました。細工されたZOOファイルを展開すると、ZOOファイル中に記述された任意のコードがユーザーの許可無しに実行される可能性があります。なお、Lhaplusはファイル拡張子ではなくファイルの内容でファイルタイプを自動判別するため、細工されたZOOファイルの拡張子がZIPなどに変更されていた場合でも自動的にZOOファイルを識別して解凍処理を行います。このため、.ZOOファイル拡張子のファイルを展開しないという方法で本問題を回避することはできません。

■ 詳細:

本脆弱性は、ZOOファイル中に長いコメントフィールド長が指定されていた場合に発生します。長いコメント長フィールド(例:0xffff)が指定されている場合、不適切なファイル読み込みが発生し、ファイル中に指定されたデータでヒープを埋め尽くしてオーバーフローさせることが出来ます。その結果、以下に示すExploit可能条件に到達します。

0040825B mov dword ptr [ecx],edx

ECX、EDX共に制御可能

この結果、例外ハンドラポインタの上書きなどによりEIPを制御できます。


■ 深刻度:
高

■ 対象OS:
Microsoft Windows

■ 脆弱性情報の取り扱い:
本脆弱性は、情報処理推進機構(IPA)の「情報セキュリティ早期警戒パートナーシップガイド」に従って処理されました。
http://www.ipa.go.jp/security/vuln/

■ 対策:
ベンダーからリリースされている最新バージョンをインストールしてください。
http://www7a.biglobe.ne.jp/~schezo/

■ 関連情報:
http://jvn.jp/jp/JVN%2374468481/index.html
http://jvndb.jvn.jp/contents/ja/2008/JVNDB-2008-000022.html
http://www.ipa.go.jp/security/vuln/documents/2008/200804_Lhaplus.html


■ 発見者
鵜飼裕司

■ より詳細な情報:

FFR Prime Analysisサービスでは、

- 本脆弱性のより詳細な分析
- 攻撃案定性分析
- パッチ差分解析
など、より詳細な情報を提供しています。

http://www.fourteenforty.jp/services/index.htm

■ お知らせ
リサーチエンジニア、ソフトウエアエンジニアの募集を行っています。
http://www.fourteenforty.jp/recruit/index.htm