アーカイブ
Virus Buster 2001(version 8.02) Remote Command Execution Vulnerability
2001年3月30日 | 注意喚起
SNS Advisory No.23
Published: 30 Mar 2001
概要
弊社SNS(セキュアネットサービス)チームはウイルスバスター2001 プログラムバージョン8.02に対するバッファオーバーフロー攻撃が成立し、任意のコマンドを実行できることを実証しました。
バッファオーバーフロー攻撃が成立する条件
ウイルスバスター2001に備わっているメールに対するウイルススキャン機能は「メール検索」と呼ばれ、MUA(Mail User Agent)で受信するメールの添付ファイルをPOP3プロトコルで取り込む毎にスキャンし、ウイルスに感染したファイルの受信を防止する機能です。なお、この機能はMUAとMRA(Mail Retrieval Agent)の間のプロキシとして動作しています。
約17000bytes以上のヘッダを含んだメールをMUAで受信操作を行った場合、「メール検索」(pop3trap.exe)にバッファオーバーフローが生じます。この結果、メールの受信が不可能になります。この弱点を利用して、任意のコマンドの実行が可能となります。正常動作への復旧には、このソフトウェアが動作するコンピュータの再起動が必要です。
異常なメールの例
From: aaaaaaaa(約17,000文字)aaaaaaaaaa
To: ichinose@lac.co.jp
Date: Fri, 23 Mar 2001 15:06:57 +0900
Subject: TEST
I cracked you again.
(この例では、notepad.exeを実行しています)
影響するバージョン
ウイルスバスター2001 プログラムバージョン8.02
パッチ情報
この問題への対策が施されたバージョン(8.03)が3月30日に公開されました。ただし、バージョン8.03では、ウイルスを誤検出する不具合が発生したため、現在はバージョン8.04が公開されています。バージョン8.04へのアップデートはこの製品の自動更新機能(インテリジェントアップデート)で行えます。
なお、今回修正された問題はバッファオーバーフローが発生する場所が異なるだけで、Ver8.00で存在した問題と殆ど同様のものです。この問題は8.01では生じませんが、8.01では「異常に長いMIME Boundaryによるバッファオーバーフロー」が生じるため、8.02以前のバージョンを使用しているユーザは8.04へアップデートを行うことを強く推奨します。
プログラムバージョン8.04へのアップグレードにあたっては以下の条件が必要です。
(1)製品版の正規ユーザであり、かつ、ユーザ登録を行っていること
(2)インテリジェントアップデートにより製品の更新を行う(インテリジェントアップデートを行う場合には、製品のライセンスキーが必須です)
また、以下のサイトからバージョン8.04サービスパックが公開されています。このサイトからVB21SP4.exeをダウンロードし、ダブルクリックすることでバージョン8.04にアップデートすることも可能です。
http://www.trendmicro.co.jp/homeuser/download/vb2001sp4.htm
ベンダ情報
トレンドマイクロ株式会社:
http://www.trendmicro.co.jp/
トレンドマイクロ株式会社サポートセンター:
http://www.trendmicro.co.jp/homeuser/home_support.htm
発見者:
一瀬 小夜(ラック)