米シマンテックは現地時間25日、フリーウェアの圧縮解凍ソフトとして人気の高い「+Lhaca(プラスラカ)」の脆弱性を狙うトロイの木馬が見つかったと発表した。
同社によると22日、日本のユーザーから送られてきたLZHファイルを分析したところ、「Lhacaデラックス版バージョン1.20」の未修正の脆弱性を突いて、システムにバックドアを仕掛けるトロイの木馬を投下実行することが判明した。当該ソフトは、プログラム内部で文字列の長さを検証せずにコピーしている部分があり、細工されたLZHファイルを開くとスタックベースのバッファオーバーフローが起き、内部に埋め込まれたコードを実行されてしまう。
問題の指摘を受けて作者の村山氏は26日、プログラム内部で使用していたコピー関数を文字数の制限付きコピー関数に変更し、バッファオーバーフローの問題に対処した修正版「バージョン1.21」を公開。詳細な動作確認終了後に、当該バージョンを正式版にするとしており、現時点では「+Lhaca」の公式サイトでのみでの配布となっている。
【解説:フリーウェアの脆弱性】
フリーウェアでは、脆弱性の周知や修正版の配布などのプロセスが明確になっておらず、作者が公式サイトを開設していないケースや、すでに開発を終了してしまっているケースも多々ある。多数のサイトで配布されることも多く、その場合には配布元となっているダウンロードサイトの対応にも期待したいところだが、当該ソフト扱っている「窓の杜」と「ベクター」とでは、その対応に大きな違いが見られた。
窓の杜は26日、脆弱性に関するニュースをトップページに掲載し、当該ソフトの安全性が確保されるまで公開を一時停止する措置とった。一方のベクターは、27日午後の時点でも未だ告知はなく、トップページのランキング欄の2位に当該ソフトを掲示。現在もダウンロード可能な状態にある。
(2007/06/27 ネットセキュリティニュース)
■ Beware of LZH[英文](Symantec Security Response Weblog)
http://www.symantec.com/enterprise/security_response/weblog/2007/06/beware_of_lzh.html
■バッファーオーバーフロー問題に関して(+Lhaca)
http://park8.wakwak.com/~app/Lhaca/overflow.html
■+Lhaca公式サイト
http://park8.wakwak.com/~app/Lhaca/
■「+Lhaca」に任意のコードが実行されるパッチ未提供の脆弱性、Symantecが公表(窓の杜)
http://www.forest.impress.co.jp/article/2007/06/26/lhaca_vulnerability.html
【ウイルス情報】
・Trojan.Lhdropper(シマンテック)
http://www.symantec.com/ja/jp/enterprise/security_response/writeup.jsp?docid=2007-062506-5500-99
・Exploit-Lhaca.a(マカフィー)
http://www.mcafee.com/japan/security/virE.asp?v=Exploit-Lhaca.a
【過去記事:ネットセキュリティニュース】
・[ウイルス情報]:ZIPの次はRAR、「ウイルス警報」装うウイルスメール(2007/05/01)
・「ウイルス警報」装うメールにご用心! 添付のZIPファイルにワーム(2007/04/16)
・gzipに脆弱性見つかる、「LHA」対応ソフトすべてに影響の恐れ(2006/09/25)