- 602 名前:名無しさん@お腹いっぱい。 mailto:sage [2007/09/06(木) 19:34:15 ID:S0QQdyow0]
- バッファオーバーフローで不正コード実行の可能性
国産圧縮ソフトにまた脆弱性、今度はzipも
2007/09/05
情報処理推進機構(IPA)のセキュリティセンターおよびJPCERT/CCは9月5日に
オープンソースのWindows向け圧縮・展開ライブラリ「7-ZIP32.DLL」にバッファ
オーバーフローの脆弱性があると発表した。7月30日にIPAが届け出を受けた
もので、その後、開発者と調整してすでに修正バージョンが公開されている。
7-ZIP32.DLLは、7z形式やzip形式などのファイルの圧縮・展開を行うライブラリで、
バージョン4.42.00.03およびそれ以前のものに脆弱性が確認されている。作者の
秋田稔氏によれば、非常に長いファイル名のファイルを含んだ書庫の格納ファイル
のリストを取得、あるいは解凍する際に、深い再帰呼び出しが発生してスタック
バッファオーバーフローが発生し、その後、ヒープバッファオーバーフローが発生し、
書庫に仕込まれた不正なコードを書庫の操作で実行される可能性があるという。
www.atmarkit.co.jp/news/200709/05/jpcert.html
何か関係あるか?
|
 |
