アーカイブ
Virus Buster 2001 Remote Command Execution Vulnerability
2001年2月6日 | 注意喚起
SNS Advisory No.22
Published: 6 Feb 2001
概要
弊社SNS(セキュアネットサービス)チームはウイルスバスター2001 プログラムバージョン8.01に対するバッファオーバーフロー攻撃が成立し、任意のコマンドを実行できることを実証しました。
バッファオーバーフロー攻撃が成立する条件
ウイルスバスター2001に備わっているメールに対するウイルススキャン機能は「メール検索」と呼ばれ、MUA(Mail User Agent)で受信するメールの添付ファイルをPOP3プロトコルで取り込む毎にスキャンし、ウイルスに感染したファイルの受信を防止する機能です。なお、この機能はMUAとMRA(Mail Retrieval Agent)の間のプロキシとして動作しています。
約300bytes以上のMIME Boundaryを含んだメールをMUAで受信操作を行った場合、「メール検索」(pop3trap.exe)にバッファオーバーフローが生じます。この結果、メールの受信が不可能になります。この弱点を利用して、任意のコマンドの実行が可能となります。正常動作への復旧には、このソフトウェアが動作するコンピュータの再起動が必要です。
異常なメールの例
From: ichinose@lac.co.jp
To: ichinose@lac.co.jp
Date: Tue, 30 Jan 2001 15:06:57 +0900
Subject: TEST
Mime-Version: 1.0
Content-Type: MultiPart/Mixed;Boundary="aaa(約300個)aaa"
--aaa(約300個)aaa
Content-Type: text/plain; charset=us-ascii
How can I make you be sure?
--aaa(約300個)aaa
Content-Type: application/octet-stream; name="attached.exe"
Content-Transfer-Encoding: base64
Content-Disposition: inline; filename="attached.exe"
(BASE64でエンコードされたattached.exe)
--aaa(約300個)aaa
(この例では、notepad.exeを実行しています)
影響するバージョン
ウイルスバスター2001 プログラムバージョン8.01
パッチ情報
Trend Micro社の速やかな対応により、この問題への対策が施されたバージョン(8.02)が2月6日に公開されました。バージョン8.02へのアップデートはこの製品の自動更新機能(インテリジェントアップデート)で行えます。
2月6日以降に製品の更新を行っていない場合は、ただちに「インテリジェントアップデート」(製品の自動更新機能)を利用し製品の更新を行わねばなりません。
プログラムバージョン8.02へのアップグレードにあたっては以下の条件が必要です。
(1)製品版の正規ユーザであり、かつ、ユーザ登録を行っていること
(2)インテリジェントアップデートにより製品の更新を行う(インテリジェントアップデートを行う場合には、製品のライセンスキーが必須です)
また、以下のサイトからバージョン8.02サービスパックが公開されています。このサイトからVB21SP2.exeをダウンロードし、ダブルクリックすることでバージョン8.02にアップデートすることも可能です。
http://www.trendmicro.co.jp/homeuser/download/vb2001sp2a.htm
ベンダ情報
トレンドマイクロ株式会社:
http://www.trendmicro.co.jp/
トレンドマイクロ株式会社サポートセンター:
http://www.trendmicro.co.jp/homeuser/home_support.htm