WinRARの脆弱性を狙ったマルウェアが急増 43
ストーリー by hylom
アップデートしましょう 部門より
アップデートしましょう 部門より
老舗のファイル圧縮・展開ソフト「WinRAR」の脆弱性を悪用するマルウェアが多数登場しているという(SLASH GEAR、ZDNet、Engadget、Slashdot)。
この脆弱性は2月に明らかになったもので、細工を行なった圧縮ファイルをWinRARに処理させることで、任意の場所にファイルを設置できるというもの(Security NEXT、CVE-2018-20250)。すでに修正版がリリースされているが、バージョン5.61以前のすべてのWinRARにこの脆弱性が含まれている。
この脆弱性が公表されて以来、すぐにこれを悪用するマルウェアが登場したとのことで、100種類以上の攻撃例が確認されているという。具体的な攻撃例としては、人気歌手アリアナ・グランデの最新アルバムを違法にコピーし圧縮したRARファイル中にマルウェアを仕込み、WinRARでこのファイルを展開させるとマルウェアがシステムにインストールされるといったものがあるそうだ。
スージープラグインって大丈夫? (スコア:2)
たぶんスラドに集う方々ならご存知でしょうが
画像ビューワーとかファイラーとかで今でもスージープラグインを利用している
フリーソフトってまだ結構ありますよね。
そのスージープラグインの中に winrar 対応のものがあります。
「axrar.sip (RAR extract plug-in)」は最終更新が2004年。
https://www.vector.co.jp/soft/win95/art/se261123.html [vector.co.jp]
> アーカイブ操作・展開処理を自前で行っている
とのことなので今回の件とは無関係かもですが、
古い winrar をリバースコンパイルしたりして参考にしてたとしたら
同じロジックを使ってたりする可能性もありますね・・。
しかし今見たらスージー本体の更新が終わったのが2002年。17年前ですか・・。
私も歳を取るわけですね・・・。
http://www.digitalpad.co.jp/~takechin/ [digitalpad.co.jp]
Re:スージープラグインって大丈夫? (スコア:1)
RARファイル形式とは関係ない、ACE形式の解凍モジュール(UNACEV2.dll)にある脆弱性です。
ACE形式はRARのようにな独自形式で、ACE形式開発ベンダから提供されていた解凍モジュールに脆弱性があります。
その為、独自実装ではない、ACE形式に対応したアーカイバはリスクがあると思った方が良いです。
Re:スージープラグインって大丈夫? (スコア:2)
おおお、勘違いしてました。
コメントありがとうございます~!!
ACE形式に対応したスージープラグインは手持ちにはなく
検索しても出てこなかったので大丈夫そうですね。
ちなみに検索しているときに下記のページを見つけたのですが、
懐かしい名前がちらほら・・・。
http://www.geocities.co.jp/Playtown-Denei/9784/kaitou.htm [geocities.co.jp]
ZELDA, RarUty, 解凍レンジ・・・思わぬ おっさんホイホイでした笑
Re: (スコア:0)
あと10日以内に移転…しそうにないなあ
Re: (スコア:0)
おっさんホイホイにつられて・・・
支天輪や詩子様、Melt itあたりを常用してたな(謎
当時のバックアップCD-Rがまだ読めるなら発掘出来そうだ。
Re: (スコア:0)
とりあえずUNACEV2.dll削除すれば大丈夫ですかね。
自分のPCを検索したら、arc convertというソフトが使ってた。
兵庫県警仕事しろ (スコア:1)
優秀なサイバーチームで全員検挙しろ
Re:兵庫県警仕事しろ (スコア:1)
で、WinRARをインストールした人を逮捕するんですね。
Re: (スコア:0)
してくれたほうが色々捗る気がしないでもない。
Re: (スコア:0)
ピーピーうるさい閉じられないサイトを開いてしまったんですけど
通報窓口ってあるのかな
Re: (スコア:0)
近所に頻繁にピーポーピーポーうるさい音を出す車が出入りするビルがあるんですけど(以下略
Re: (スコア:0)
ほんとああいうヤツこそ取り締まってほしいよなー
Lhaplus が危ないかも (スコア:1)
問題なのは rar 形式ではなく ace 形式で、同様の問題について Explzh でも対応をしています
ace 形式の展開はバイナリしかなく、直しようがないので対応をやめるという対処をしています
で問題なのは日本でメジャーな Lhaplus がまだ対応していないんじゃないかという疑惑
(疑惑というか、ace 形式対応してるなら間違いなく問題孕んでるはず)
一般ユーザ向けには、この先 ace 形式は問答無用で削除、ぐらいの対応でも良いかもしれません
Re:Lhaplus が危ないかも (スコア:2)
その昔存在していたWinAceって、何だったかな...。
https://en.wikipedia.org/wiki/WinAce [wikipedia.org]
Re:Lhaplus が危ないかも (スコア:1)
窓の杜でずばりその旨書いてありますね。
https://forest.watch.impress.co.jp/library/software/lhaplus/ [impress.co.jp]
Re:Lhaplus が危ないかも (スコア:1)
総合アーカイバではラッパー側で対処しているので問題ないとのことです
一律に ace 対応しているから脆弱性! というわけではないので、表現が誇張されていたこと謝罪します。
総合アーカイバプロジェクト [madobe.net]
Re: (スコア:0)
最終更新日が2016/3/29なのに対応済みということは、単に古くから知られていた脆弱性に対してWinRARが対応をサボっていただけか
Re: (スコア:0)
少なくともそう言う拡張子に遭遇した事がここ20年は無いから。
Re:Lhaplus が危ないかも (スコア:2)
2001年か2002年くらいに少し見た程度ですね…。
同じくマイナーアーカイブのGCAの方がまだ見た気がします。
Re: (スコア:0)
アイコンが好きで愛用してたわ
Re: (スコア:0)
一般に流通していないからこそ、もう一律排除でも良いんじゃないかと思いました
今流通している ace ファイルのほとんどはこの脆弱性狙いなんだろうな、と
関連付けされていると
「(デフォルトだと)拡張子はでない」
「圧縮されているアイコンになる」
「ダブルクリックで動き出す」
と一般ユーザだと普通に踏み抜くであろう状況ですし
Re: (スコア:0)
リンク先に書いてありますが、拡張子出してても拡張子を「.rar」とかに変えとけばWinRARはバイナリ見てace形式と看破して解凍しちゃいます
Re: (スコア:0)
「WinRARの脆弱性」と報じたメディアが多かったので、「WinRARは使ってないから大丈夫」と
判断している人がいるような気がします。
Re: (スコア:0)
海外ニュースをそのまま持ってきているだけ、というのが問題ですかね
国内の状況に照らし合わせれば、WinRAR なんかより余程別のソフトの方が問題なのがわかるはずなのですが
# 会社で周りの人の Lhaplus 率にびっくりします(共有端末なんかも必ず入っている……)
# 私は新しい物好きなので、WinRAR(ライセンス購入済み)か 7z 入れるようにしていますが
Re:Lhaplus が危ないかも (スコア:1)
そう、見回してみると驚くほどLhaplus!
営業がお客さんに薦めてる例もあったっぽい
Re: (スコア:0)
うちの会社もLhaplusなんだよなあ。
プライベートでは
普段使いがLhaz(ただ単にフォルダ圧縮するだけ、解凍するだけの時)
ちょっと細かい事やろうとすると小回りがきかないのでそういうのはExplzhとか。
後はWinRarと7zかな。
洋ゲーのModとか色々漁ってると結構変なのあるんだよなぁ。
Lhazだと上手く解凍できなかったりとか(rarと7zで多い)
Explzhは圧縮する時のまとめて別フォルダとかが便利なので使ってる。
Re: (スコア:0)
そして脆弱性のこと言うと敵とみなされ14H250日全方位からフルボッコ人格攻撃受けるんですね分かります。
#○察がアレだから正解なのかも
Re: (スコア:0)
14H勤務とはいえ完全週休2日というのが妙なリアリティがありますね
Re: (スコア:0)
そりゃあリアル体験ですからw
#自分「は」壊れなかったけどヤバかった
Re: (スコア:0)
とっくにLhaforgeに乗り換えたけど
Lhaplusに馴染みすぎて氷付けアイコンじゃないと違和感を感じるようになってしまった
そのアイコンの入ったdllだけぶっこぬいて使ってる
Re: (スコア:0)
Lhaplus よりも、はるかに歴史の長い WinRAR を新しい物好きとは如何に?
Re: (スコア:0)
Lhaplusなんて殆どメンテされてないようなソフトを使ってるのが悪いだろ。
Re: (スコア:0)
更新されていてもつい最近まで脆弱性を放置していたWinRARというソフトもありますし
Re: (スコア:0)
今でもLhaplusな人多いのか…
完全になつかしのソフト枠だったわ
Re: (スコア:0)
Lhaplus 更新履歴、各種情報
http://www7a.biglobe.ne.jp/~schezo/history.html [biglobe.ne.jp]
にある以下の修正とは別件かしら?
>Lhaplus Version 1.72 [ 2015/04/08 ]
>特定のアーカイブ処理時に、意図的しない場所に解凍される脆弱性を修正しました。
>(脆弱性発見者の Masato Kinugawa 様に、深く感謝申し上げます)
20年以上使っているけど・・・ (スコア:0)
今回始めて自動的に強制アップデートされて戸惑った・・・
アイコンがガラッと変わってて分かりづらいったらありゃしないな
アイコンだけでももとに戻したい
Re: (スコア:0)
オプション -> テーマ -> テーマの取得
Re: (スコア:0)
WinRarに自動アップデート機能なんてあったんだ。
うちのは更新かからなかったけど、なんでだろう。
仕方ないので手動で入れ替えた。
Re: (スコア:0)
20年以上使っているけど、今回始めた
Re: (スコア:0)
アイコンが変わっただけなので戸惑いはしなかったけど「ダサいアイコンだなあ」とは思った
パーミッション (スコア:0)
win7あたりからadminでも消せないファイルとかバリバリ増えたけど、
ツール越しにシステムファイルを置けるほどパーミッションってまだゆるゆるなんだ?
Re: (スコア:0)
置き先はユーザーのスタートアップフォルダー
要するに、十数年前に騒ぎになった「指定外の場所にファイルが展開される脆弱性」が今さらWinRARで見つかったってこと。
思えば当時はまだ牧歌的だった(こんな急にマルウェアが激増とかしなかったし攻撃方法を書いても逮捕とかされなかった)
Re: (スコア:0)
多段で攻撃するので、着弾時は、ユーザ権限の範囲で侵入できれば十分なのです。