zlibに脆弱性

データ圧縮ライブラリ「「zlib」に脆弱性--広範な影響のおそれ (CNET Japan) - 7月8日12時30分更新
セキュリティ監視会社のSecuniaが米国時間7日に出した警告によると、オープンソースの「zlib」コンポーネントにバッファオーバーフローを引き起こす脆弱性が存在するという。この脆弱性には、攻撃者が特別に用意したファイルを使って、コンピュータを乗っ取ったり、zlibを利用するアプリケーションをクラッシュさせたりするおそれがあると同社では説明している。

Gentoo Linuxのセキュリティ監査チームのメンバーで、この脆弱性を発見したTavis Ormandyは、電子メールでインタビューに答え、「zlibは、Xboxから携帯電話やOpenSSHまで、ほとんどすべてのもので利用されており、潜在的な影響はかなり大きい」と述べている。

 Secuniaによると、この欠陥はzlibのバージョン1.2.2で報告されているが、それ以前のバージョンにも影響があるかもしれないという。


うぅわっちゃー

 こりゃ影響でかそうな…つーか、俺も常用してるし(笑)

アドバイザリzlib "inftrees.c" Buffer Overflow Vulnerability(CVE :CAN-2005-2096 (under review) )によると、inftrees.c(デコード用のハフマン木作る奴だっけ)のバウンダリエラーで、変なデータ食わせるとクラッシュさせたり任意のコードの実行が可能になるつーことのようだ。バージョン1.2.2以前のはマズいつーことだが、俺の使ってるの1.2.1だよ、とほほほほ。

 まあ、俺みたいに個人的なソフトは、zlibのバージョンアップかパッチで対応できるだろうけど、zlibを使ってるアプリ一覧をみると、3DMax, Adobe Illustrator, Photoshop,GIMP,ICQ,ImageMagick、Internet Explorer,Mozilla,Opera,Microsoft Office,Norton AntiVirus…といった超ビッグネームが並んでいる。おまけに大抵は共有DLLじゃなくってobjリンクしてるだろうから、各ベンダそれぞれの対応が必要だろうと思う。もちろん実装はそれぞれだろうから全部が全部脆弱性内在ではないだろうが、これほど広範に使われてるライブラリだと影響もでかいなぁ。

 本日時点ではExploit codeが出てるかどうかわからないが、inftree.cは455行かそこらのソースなんで、そういう目で見りゃあ問題の特定も攻撃の方法も分かりやすかろう(俺はやらないが)。

 各ベンダの早めの対応を期待したい…が、最終的には自己防衛しかないんだが
[PR]
by SIGNAL-9 | 2005-07-08 14:56 | 情報保護・セキュリティ | Comments(0)
<< 昨年度の個人情報漏えい、6倍増... カカクコム事件-新たな展開か? >>