作成日:	2009-02-11 04:33:36
更新日:	2009-06-19 23:26:41

このページを見た方は以下もチェックしています

アラート/アドバイザリ：ウイルス検索エンジンのUPXファイル検索処理における脆弱性

ID:	JP-2061390
製品:	全製品 - All, All
OS:	ALL

iDefense Labsにおいて、次の脆弱性の存在について報告されています。
iDefense Labs：Trend Micro AntiVirus UPX Parsing Kernel Buffer Overflow Vulnerability
この脆弱性を悪用した攻撃を防ぐために、あらかじめトレンドマイクロの製品にて行っておくべき対策はありますか。

■概要
本脆弱性は、悪意を持って細工されたUPX形式圧縮ファイルの検索（展開）処理におけるウイルス検索エンジンの問題です。

トレンドマイクロはiDefense Labsより報告されたウイルス検索エンジンのUPXファイル検索処理における脆弱性に関して、対策を完了しております。最新のウイルスパターンファイルをご使用の環境では本脆弱性による問題発生のおそれはありません。

なお、2007年2月6日現在、この脆弱性を悪用した攻撃は確認されていません。トレンドマイクロでは引き続き、本脆弱性を悪用した攻撃の監視を強化していきます。

ウイルス検索エンジンが細工されたUPX形式圧縮ファイルを検索する際に、正常に展開できないことから、不正なデータ長を取得し、バッファオーバーフローが発生する現象を確認いたしました。この脆弱性が悪用された場合、Windows 環境の場合、ブルースクリーンが発生する場合があります。また、ウイルス検索エンジンが DLL 形式の場合、例外エラーが発生する可能性があることも確認されています。

本脆弱性に未対策である環境下において、悪意ある攻撃者は、トレンドマイクロのウイルス対策製品が存在するシステムに細工されたUPX形式圧縮ファイルを送りつけ、バッファをオーバーフローさせることにより、システム上で任意のコードを実行する可能性があります。

■重要度：高
共通脆弱性システム CVSS Severity: 5.6
基本評価基準（AV:R/AC:H/Au:NR/C:P/I:P/A:P/B:N）

攻撃元区分	リモートから脆弱性を攻撃可能
攻撃条件の複雑さ	攻撃条件の複雑さが高い
攻撃前の認証要求	攻撃にあたり認証操作が不要
機密性への影響	部分的な影響に留まる
完全性への影響	部分的な影響に留まる
可用性への影響	部分的な影響に留まる
機密性／完全性／可用性の重み付け	全て同じ重みである

■本脆弱性の存在が確認されている製品/バージョン
ウイルス検索エンジンVSAPI 8.0 以降を使用しているトレンドマイクロ製品全てに本脆弱性の影響があります。
* 現在、サポート提供期間中の製品に関しましては、こちらをご確認ください。

■トレンドマイクロ製品による対策
トレンドマイクロでは、細工されたUPX形式圧縮ファイルを検出し、脆弱性による影響を未然に回避するウイルスパターンファイル 4.245.00 を2007年2月5日から配信開始しております。

また、次期ウイルス検索エンジンに、本脆弱性に対する修正が含まれる予定です。

■寄せられる質問

Q. この脆弱性を悪用した攻撃やウイルスは確認されていますか。
A. 2007年2月6日現在、この脆弱性を悪用した攻撃は確認されていません。

Q. 悪意あるユーザはどのようにこの脆弱性を悪用する可能性がありますか
A. この脆弱性が悪用されるには、細工されたUPX圧縮をトレンドマイクロのウイルス対策製品が動作している環境に受信させることが必要条件となります。なお、ウイルス対策製品が動作している場合においても、ウイルスパターンファイルのバージョンが 4.245.00 以前でなければ、攻撃は成立しません。

Q. ウイルスパターンファイルはこの脆弱性に対してどのような回避を行いますか。
A. バージョン 4.245.00 以降のウイルスパターンファイルでは、この脆弱性を回避するために2つの効果をもたらします。

　1. UPX展開アルゴリズムの更新
2. 悪意をもって細工されたUPX形式圧縮ファイルを検出する機能

Q. 悪意をもって細工されたUPX形式圧縮ファイルをトレンドマイクロ製品が検出した場合、どのような検出名にて警告されますか。
A. バージョン 4.245.00 以降のウイルスパターンファイルにて、「EXPL_MALUPX」のファミリ名により警告が行われます。

　ウイルス情報「EXPL_MALUPX.A」

Q. トレンドマイクロ製品のバージョン情報について確認するには、どうすればよいですか。
A. 次の製品Q&Aより、ご利用いただいている製品ごとの情報をご確認ください。

　製品Q&A：「トレンドマイクロ製品情報の確認方法一覧」
　http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-26333

Q. 次期ウイルス検索エンジンの予定について教えてください。
A. 2007年6月初旬ごろVSAPI 8.5 Windowsプラットフォーム版より、順次リリースを計画しております。

■参考情報

　・iDefense Labs：Trend Micro AntiVirus UPX Parsing Kernel Buffer Overflow Vulnerability
　　http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=470
　・CVE：CVE-2007-0851
　　http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0851
　・JP Vendor Status Notes JVNVU#276432：Trend Micro AntiVirus が細工された UPX 圧縮実行ファイルを適切に処理できない脆弱性
　　http://jvn.jp/cert/JVNVU%23276432/index.html

このソリューションに関して、ご意見をお聞かせください。

このソリューションは問題解決に役に立ちましたか。

はい

いいえ

このソリューションの内容を改善するために、ご提案/ご意見がありましたらお聞かせください。

※こちらに技術的なご質問などをいただきましてもご返答する事ができません。
何卒ご了承いただきますようお願いいたします。

本ページで問題が解決しない場合はこちらへ

本サポートサイトについて評価する