公開日:2007/02/10 最終更新日:2007/02/13

JVN#77366274
CCCクリーナーにおけるバッファオーバーフローの脆弱性

概要

サイバークリーンセンターにて、2007年1月25日より2007年2月9日までの間に提供された CCCクリーナーには、UPX 圧縮実行ファイルのスキャン処理時においてバッファオーバーフロー脆弱性が存在します。

本脆弱性は、トレンドマイクロ社のアンチウイルス製品に発見された UPX 圧縮実行ファイルのスキャン処理時におけるバッファオーバーフロー脆弱性の影響によるものです。本脆弱性の詳細については、トレンドマイクロ社が提供する情報をご確認ください。

影響を受けるシステム

 

  • CCCクリーナー (CCCパターンVer:185)


    • 実行時に展開される「CCCクリーナー」フォルダに以下のファイルが含まれている場合は、本脆弱性の影響を受けます。

    ファイル名: lpt$vpn.185

    2006/2/13 時点において、トレンドマイクロから 2006/2/11 に発表された「ルートキット対策モジュール(TmComm.sys)における脆弱性」は、CCCクリーナーには影響しないことが報告されています。詳しくは、ベンダが提供する情報をご確認ください。

    詳細情報

    想定される影響

    細工された UPX 圧縮実行ファイルを CCCクリーナーでスキャンした場合、任意のコードを実行される可能性があります。

    対策方法

    ベンダ情報

    ベンダ リンク
    JPCERT コーディネーションセンター サイバークリーンセンターにおいて提供された「CCCクリーナー」の脆弱性についてのお知らせ
    サイバークリーンセンター トップページ
    ボットの駆除手順(ダウンロードページ)

    参考情報

    1. トレンドマイクロ
      アラート/アドバイザリ:ウイルス検索エンジン VSAPI 8.0以降におけるUPX 圧縮ファイル検索処理時のバッファオーバーフローの脆弱性について
    2. トレンドマイクロ
      アラート/アドバイザリ: ルートキット対策モジュール (TmComm.sys) における脆弱性について
    3. US-CERT Vulnerability Note VU#276432
      Trend Micro AntiVirus fails to properly process malformed UPX packed executables
    4. US-CERT Vulnerability Note VU#282240
      Trend Micro Anti-Rootkit Common Module fails to properly restrict access to the "\\.\TmComm" DOS device interface

    JPCERT/CCからの補足情報

    JPCERT/CCによる脆弱性分析結果

    2007.02.10における脆弱性分析結果

    評価尺度 攻撃成立条件 評価値
    攻撃経路 インターネット経由からの攻撃が可能
    認証レベル 攻撃者が自らアカウントを取得することで攻撃が可能
    • 中 - 高
    攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
    攻撃の難易度 ある程度の専門知識や運 (条件が揃う確率は高い) が必要
    • 中 - 高

    各項目の詳しい説明

    謝辞

    関連文書

    JPCERT 緊急報告 JPCERT-AT-2007-0004
    JPCERT/CC Alert 2007-02-10, 「CCCクリーナー」の脆弱性に関する注意喚起
    JPCERT REPORT
    CERT Advisory
    CPNI Advisory
    TRnotes
    CVE CAN-2007-0851
    JVN iPedia