パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける」記事へのコメント

  • ここが受理してれば対応はされたはず…ということですかね。

    • Re: (スコア:5, すばらしい洞察)

      アンチウィルスの脆弱性として扱われれば、メーカー各社は必死に修正するでしょう。

      この騒動で一番重要な事は、「LZH終了のお知らせ」ではなく、アンチウィルスソフトウェアの脆弱性が放置されている点にあります。

      海外のCVEはともかく、日本のIPAはLZH形式を知らないはずが無いわけです。日本国内でのLZHファイルの流通量についても知っている(少なくとも調査は容易に行える)はずなので、影響範囲は小さくないとすぐに分かったはずです。
      さらに、他形式における対応(アンチウィルスの脆弱性として受理)を考えれば、IPAがアンチウィルスの脆弱性を受理しない事の方が不思議です。

      なぜ脆弱性情報が受理されなかったのか、今後はそちらの方が問題になるのではないかと思います。
      • > アンチウィルスの脆弱性として扱われれば、メーカー各社は必死に修正するでしょう。

        LHA形式の圧縮/復元ユーティリティを大手中の大手マイクロソフトも配布してはいますけども、たいていの配布元は個人です。
        マイクロソフトはWIndows XPの頃に配布していたようですが、WIndows7対応とかServer製品でのサポートってしてるのかは知りません。
        また、LHAユーティリティは窓の杜やベクターを通じて入手するケースが多いのでしょうけどそういうところにIPAは働きかけするんでしたっけね?
        それに流通はほぼ日本が中心。海外ではLHA形式単体はマイナーなんですよね?
        I
        • Re: (スコア:5, 参考になる)

          何か勘違いをなさっているような気が。

          LHA書庫を扱う際、
          1.大きなヘッダによるバッファオーバーフロー
          2.バッファオーバーフロー回避の結果起こる検疫通過
          の2つの脆弱性があり、バッファオーバーフローについては、CVE-2004-0234 [mitre.org] 等で既に脆弱性として扱われています。

          私が問題と言っているのは、検疫通過の方です。これはアンチウィルス限定の脆弱性であり、一般の解凍ソフトでは問題になりません。
          検疫通過はアンチウィルス製品メーカー以外では対応できないので、一般の解凍ソフト作者への働きかけは関係無い話です。

          • これって、アンチウィルス製品メーカの対策って2つありますよね?

            1.LHA書庫を全て検閲する(どんなヘッダであっても、無視せずに解凍して中身をチェックする)
            2.LHA書庫を"対応書庫ファイルから外す"
            # 「きちんと検閲する」or「そもそも検閲しない」

            いくつかのアンチウィルス製品メーカのサイトを探してみましたが、具体的にどの圧縮形式に対応しているかわかりませんでした。
            ので、そこをつまびらかにすれば、「LHAの中身は探さないんだ=やばいかも」とユーザにわかるようになる気が。
            # それこそ超マイナーな圧縮形式には対応してらんないでしょうし。

            問題の本質は一見LHA書庫の中身も検閲しているように見えるけれども、すり抜けているってところですよね。
            何を調べて、何を調べていないのか、きちんと明示しなきゃいかん、みたいな風潮になると良いなあ:-P

            • まともなアンチウイルス系ソフトならば、世界中のありとあらゆるアーカイブ形式をサポートすべきでしょう。
              独自形式あるいは既存のものを少し変えたアーカイバを内包し、マルウェア本体一式をアーカイブして隠す、なんてことは普通にありえるでしょう。
              たとえばUPXでパックされていたらウイルススキャンの対象から外れるなんて言われたら、そんなアンチウイルスソフトは使いたくなくなるでしょ。
              LZHには自己解凍モジュール形式もあるのですから、それなりにサポートされてないとマズいと思いますよ。
              親コメント
              • どうかなあ。それはアンチウイルスに対する期待が大きすぎるんじゃないかな?
                「UPXでのパックに対応している」と書いてあれば、それは全てのUPXをサポートすべきだと思う。

                でも「LZHの自己解凍モジュール形式には対応していない(or 対応リストに載っていない)」という対応は十分アリだと思う。
                使わなきゃ良いだけの話なので。

                怪しげな実行ファイルは実行しないとか、安全が確保されていない圧縮形式で保管はしない・受け取らないとか、そういう対策をとれるからねー
                # その意味で、今回のLHAは使わないようにしようってのは悪くない対応なのかも?

                親コメント
              • by Anonymous Coward
                ライセンスの問題もあって困難でしょう
                LGPLの7-zipのコードを含みながらリバースエンジニアリングを禁止するウイルスバスター2010のような商品もありますが
              • by Anonymous Coward
                っていうわけでもう一つのアンチウィルス製品メーカの対策
                3. 4KB以下のヘッダならチェックする。4KBを超えるのは弾く。

                ってのは半分冗談だけど、実際問題、LZHを使うウィルスが流行ったら4KB超えるヘッダ(実際はヘッダに出るもっと限定的なパターンだろうけど)をマーカーにすればよいわけ。

                で、脆弱性なんて見方の問題も大きいから、アンチウィルス製品メーカから見ると、
                ・4KBを超えるヘッダを扱えるアーカイバはチェックできないファイルを扱う脆弱性がある
                ・特に4KBを超えるヘッダを作るアーカイバは危険であり使わない事が推奨される
                ・4KBを超えるヘッダを持つLZH形式のファイルは安全であると確信できる場合を除き破棄すべきである
                ・LZH形式はヘッダの最大長が規定されていないため仕様に潜在的な(DoSなどの)脆弱性を持つ
                とか言えるわけなんだよね。

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

処理中...