公開日:2007/02/10 最終更新日:2007/02/13

JVN#77366274
CCCクリーナーにおけるバッファオーバーフローの脆弱性

概要

サイバークリーンセンターにて、2007年1月25日より2007年2月9日までの間に提供された CCCクリーナーには、UPX 圧縮実行ファイルのスキャン処理時においてバッファオーバーフロー脆弱性が存在します。

本脆弱性は、トレンドマイクロ社のアンチウイルス製品に発見された UPX 圧縮実行ファイルのスキャン処理時におけるバッファオーバーフロー脆弱性の影響によるものです。本脆弱性の詳細については、トレンドマイクロ社が提供する情報をご確認ください。

影響を受けるシステム


  • CCCクリーナー (CCCパターンVer:185)


実行時に展開される「CCCクリーナー」フォルダに以下のファイルが含まれている場合は、本脆弱性の影響を受けます。

ファイル名: lpt$vpn.185

2006/2/13 時点において、トレンドマイクロから 2006/2/11 に発表された「ルートキット対策モジュール(TmComm.sys)における脆弱性」は、CCCクリーナーには影響しないことが報告されています。詳しくは、ベンダが提供する情報をご確認ください。

詳細情報

想定される影響

細工された UPX 圧縮実行ファイルを CCCクリーナーでスキャンした場合、任意のコードを実行される可能性があります。

対策方法

ベンダ情報

ベンダ リンク
JPCERT コーディネーションセンター サイバークリーンセンターにおいて提供された「CCCクリーナー」の脆弱性についてのお知らせ
サイバークリーンセンター トップページ
サイバークリーンセンター ボットの駆除手順(ダウンロードページ)

参考情報

  1. トレンドマイクロ
    アラート/アドバイザリ:ウイルス検索エンジン VSAPI 8.0以降におけるUPX 圧縮ファイル検索処理時のバッファオーバーフローの脆弱性について
  2. トレンドマイクロ
    アラート/アドバイザリ: ルートキット対策モジュール (TmComm.sys) における脆弱性について
  3. US-CERT Vulnerability Note VU#276432
    Trend Micro AntiVirus fails to properly process malformed UPX packed executables
  4. US-CERT Vulnerability Note VU#282240
    Trend Micro Anti-Rootkit Common Module fails to properly restrict access to the "\\.\TmComm" DOS device interface

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2007.02.10における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能。
認証レベル 攻撃者が自らアカウントを取得することで攻撃が可能。
  • 中−高
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される。
攻撃の難易度 ある程度の専門的知識や運が必要。
  • 中−高

各項目の詳しい説明

謝辞

関連文書

JPCERT REPORT
CERT Advisory
NISCC Advisory
TRnotes

更新履歴

2007/02/13
概要の記述を変更しました。
参考情報にトレンドマイクロの情報(solution 2061405)を追加しました。
参考情報に VU#282240 の情報を追加しました。