アカウント名:
パスワード:
「LZH形式対応の解凍ソフトが必要」とは書いてあるけど、「LHAがまだ使われている」なんてどこに書いてあるの?解凍ソフト(ウイルス対策ソフト含む)のバグ・脆弱性の問題なので、解凍ソフトが改善されていれば使って問題ないんじゃないの?改善されているかどうかは知らんけど。
要は改ざんされたヘッダがあると、ウィルス対策ソフトが書庫内のそのファイルorそれ以降の全ファイルを検査しない事があるってのが問題なわけだから、ウイルス対策ソフトが未対応かもしれないのに、安易に改ざんされたヘッダでも解凍できちゃうソフト使うのは不味いんじゃねーかと。
書庫ファイル内がウィルスチェックされないのは暗号化ZIPも同じじゃね?お役所でメールなんかでZIP使うときなんか暗号化ZIP使うだろうし、「書庫内ファイルがウィルスチェックされない」は脆弱性の理由としては違うような。
実際に問題なのかどうかは別として、UNLHA32.DLLの作者は問題だって主張してるよ。
LZH 書庫のヘッダー処理における脆弱性について (2010 年版) [micco.mars.jp]ところが, このバッファーオーバーフローの問題に対応していたとしても, 後者の処理を採用しているソフトでは, それが新たな問題を発生させる場合があります。 問題が発生するのは『ウイルス対策ソフト』等の場合です。多くの対応ソフトでは, バッファーが溢れてしまう大きなサイズのヘッダーが存在した場合, そこで書庫全体に対する処理を打ち切るか, 当該メンバーを無視して次のメンバーの処理に移ります。 通常のソフトであれば, これは別段問題のない無難な処理と言えます。それに対して, ウイルス対策ソフト等の場合では この点が大きな問題となります。 対策ソフトが同様の処理を行った場合, 無視されるようなメンバーについては, どのようなファイルが格納されていたとしても検疫等が一切行われないことになります。 もちろん, 展開等を行ってファイルとして作成された時点で検疫・削除等が行われるわけですが, プリビュー等, メモリー上に展開イメージが作成されるような処理の場合には, そのまま当該メンバーが扱われてしまいます。 つまり検疫をすり抜けてしまうわけです。 ゲートウェイ的な言わば防御壁を設置したシステムを採用している場合や, 資産管理などで漏洩等を防ぐために検閲している場合は, 検閲・検疫されずに すり抜けてしまえば それまでです。
LZH 書庫のヘッダー処理における脆弱性について (2010 年版) [micco.mars.jp]
ところが, このバッファーオーバーフローの問題に対応していたとしても, 後者の処理を採用しているソフトでは, それが新たな問題を発生させる場合があります。 問題が発生するのは『ウイルス対策ソフト』等の場合です。
多くの対応ソフトでは, バッファーが溢れてしまう大きなサイズのヘッダーが存在した場合, そこで書庫全体に対する処理を打ち切るか, 当該メンバーを無視して次のメンバーの処理に移ります。 通常のソフトであれば, これは別段問題のない無難な処理と言えます。
それに対して, ウイルス対策ソフト等の場合では この点が大きな問題となります。 対策ソフトが同様の処理を行った場合, 無視されるようなメンバーについては, どのようなファイルが格納されていたとしても検疫等が一切行われないことになります。 もちろん, 展開等を行ってファイルとして作成された時点で検疫・削除等が行われるわけですが, プリビュー等, メモリー上に展開イメージが作成されるような処理の場合には, そのまま当該メンバーが扱われてしまいます。 つまり検疫をすり抜けてしまうわけです。 ゲートウェイ的な言わば防御壁を設置したシステムを採用している場合や, 資産管理などで漏洩等を防ぐために検閲している場合は, 検閲・検疫されずに すり抜けてしまえば それまでです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
LHAがまだ使われている模様? (スコア:0)
「LZH形式対応の解凍ソフトが必要」とは書いてあるけど、「LHAがまだ使われている」なんてどこに書いてあるの?
解凍ソフト(ウイルス対策ソフト含む)のバグ・脆弱性の問題なので、解凍ソフトが改善されていれば使って問題ないんじゃないの?改善されているかどうかは知らんけど。
Re: (スコア:0)
要は改ざんされたヘッダがあると、ウィルス対策ソフトが書庫内のそのファイルorそれ以降の全ファイルを検査しない事があるってのが問題なわけだから、ウイルス対策ソフトが未対応かもしれないのに、安易に改ざんされたヘッダでも解凍できちゃうソフト使うのは不味いんじゃねーかと。
Re: (スコア:0)
書庫ファイル内がウィルスチェックされないのは暗号化ZIPも同じじゃね?
お役所でメールなんかでZIP使うときなんか暗号化ZIP使うだろうし、「書庫内ファイルがウィルスチェックされない」は脆弱性の理由としては違うような。
Re:LHAがまだ使われている模様? (スコア:0)
実際に問題なのかどうかは別として、UNLHA32.DLLの作者は問題だって主張してるよ。