Lhacaに未パッチの脆弱性、悪用トロイの木馬も出現
日本の研究者が圧縮・解凍ソフト「Lhaca」の脆弱性を発見。「.lzh」の圧縮ファイルでこれを悪用するトロイの木馬も見つかった。
日本で人気の圧縮・解凍ソフト「Lhaca」に未パッチの脆弱性が発覚、この問題を突いた「.lzh」圧縮形式のファイルが見つかった。米Symantecが6月25日のブログで報告している。
問題の.lzhファイルは日本の研究者から提出された。Symantecで分析したところ、Lhacaの脆弱性を突いてマルウェアを植えつけるトロイの木馬であることが分かった。
Symantecは、ゼロデイ攻撃を仕掛けるこのトロイの木馬を「Lhdropper」と命名。日本語版のWindows XPでLhaca 1.20(訳注:おそらく「Lhaca デラックス版1.20」と思われる)を使ってこれを解凍すると、システムフォルダにバックドアを仕掛けるとともに、別のLZHアーカイブを保存して後で悪用できる状態にする。このLZHアーカイブには一太郎形式のクリーンな文書が含まれているが、これはユーザーを警戒させないための仕掛けと見られる。
Symantecによれば、脆弱性は少なくともバージョン1.20に存在する。SecurityFocusのサイトに掲載された情報では、1.40にも脆弱性があると指摘(27日追記:この「1.40」という表記は「1.20」の誤記だった模様)。スタックバッファオーバーフローの脆弱性が原因で、悪質なLZHの圧縮ファイルを適切に処理できず、悪用されるとアプリケーションをクラッシュさせたり、任意のコード実行が可能になるという。現時点でパッチは公開されていない(27日追記:26日夜に修正版がリリースされた)。
関連記事
- 脆弱性を修正した+Lhacaがリリース
- 偽対策ソフトもバージョンアップ、日本語の2007年版が登場
- 「日本が狙われた」、一太郎狙うウイルスを受けてジャストシステムがパッチ公開
- たった1通のメールで狙いの情報をゲットするマンツーマン攻撃
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.