欧州研究機関、zipなどのｱｰｶｲﾌﾞ実装における脆弱性を警告

1 ： ゴーストライター(愛知県)：2008/03/20(木) 12:57:16.92 ID:4/gDNZ+h0 ?PLT(13835) ポイント特典

フィンランドのコンピュータ緊急対応センターCERT-FIと英国インフラストラクチャ保護局(CPNI)は17日(現地時間)、アーカイブフォーマットに関するセキュリティ忠告を発表した。アーカイブフォーマットの実装における脆弱性を報告するもので、悪用されると
DoS(サービス拒否)攻撃などにつながるお
それがあるという。

このセキュリティ忠告は、フィンランド・オウル大学Secure Programming Group(OUSPG)のアーカイブフォーマットの脆弱性を調べるテストスイートを利用して、ベンダによ
る実装を評価した。

OUSPGでは、任意のプロトコル実装テストによるセキュリティリサーチプロジェクト「PROTOS Genome Project」を進めており、
今回、この一環として、アーカイブフォーマットテストスイートを開発した。アーカイブフォーマットは、ACE、ARJ、BZ2、CAB、GZ、LHA、RAR、TAR、ZIP、ZOOの10種を対象とし、このフォーマットを取り扱う
プログラムをテストできる。プラットフォーム独立技術であるアーカイブ技術は、ファイルや
ディレクトリの保存、圧縮などを行うもので、さまざまなメディアを経由してのファイル転送や保存に利用されている。

テストでは、有効なファイルを収集し、ファイルの構造を分析してラフモデルを生成、これを利用して似ているが有効ではないファイルを生成する。プログラムは通常、有効ではないファイルを報告し、制御的モードで運行を続けるはずだが、多くはプログラム
終了となったり、振る舞いが変わったりした。このような場合、攻撃可能なエラーを生む可能性が高い
。これが悪用されると、DoS攻撃、バッファオーバーフロー、さらには悪意あるコードの実行などにつながるという。

http://journal.mycom.co.jp/news/2008/03/19/049/