LNKファイルの脆弱性対策No.38838
秀まるお2 さん 10/07/23 14:24
 
 LNKファイルの脆弱性対策をニュースリリース掲載しました。

http://hide.maruo.co.jp/news/security20100723.html

 手前味噌になってしまいますが、秀丸メールを普通に使っておられるユーザー
様でしたら、特に設定変更してなければ大丈夫ということで…。

 他のメールソフトだと、もしかしたら受信したメールを選択して添付ファイル
のアイコンを画面に表示させただけでアウトになるのかもしれません。もしそう
だとしたら、かなりに深刻な脆弱性かなぁと思います。

 (単にLNKファイル1つあれば攻撃出来るということもでもなさそうな気はす
るけど)
[ ]
RE:38838 LNKファイルの脆弱性対策No.38839
きいろいまふらあ さん 10/07/23 17:34
 
きいろいまふらあです。
この件、秀丸メールでどうなっているか気になっていました。

> 手前味噌になってしまいますが、秀丸メールを普通に使っておられるユーザー
>様でしたら、特に設定変更してなければ大丈夫ということで…。

明示的にお書きになっていないので、念のため確認ですが、*.lnk、*.pifを削除
する設定にしていない場合は、マイクロソフトの発表している脆弱性が問題とな
るケースに該当する(と考えられる)、ということでしょうか?

可能でしたら、情報開示をお願いします。
[ ]
RE:38839 LNKファイルの脆弱性対策No.38840
秀まるお2 さん 10/07/23 18:11
 
 実は僕もその辺よく分からないので、あんまり正確なことが書けないです。誰
か分かる人がいたら教えてほしいです。

    http://jvn.jp/cert/JVNVU940193/

 によると、

 「細工されたLNKファイルをWindows Explorerなどで表示してしまうと、ユー
ザー権限で任意のコードが実行される恐れがある」

 という話なので、だとしたら、細工された.LNKファイルを「表示」しただけで、
任意のコードが実行されるという風に受け取れますが、「Explorerなどで」とい
うのが具体的にどのソフトまで対象になるのかよく分かりません。

 秀丸メールでは、アイコンの取得は「SHGetFileInfo」という関数を使って取
得しています。他のソフトも大抵はこのAPIを使ってるはずだと思いますが、こ
れで.LNKファイルのアイコンを取得しただけで任意のコードが実行されるという
ことであれば、アイコンを表示する機能を持ったソフトのほとんどすべてで、
「ただアイコンを表示しただけ」でやられてしまうことになると思います。

> 明示的にお書きになっていないので、念のため確認ですが、*.lnk、*.pifを削除
> する設定にしていない場合は、マイクロソフトの発表している脆弱性が問題とな
> るケースに該当する(と考えられる)、ということでしょうか?

 マイクロソフトから提供された「とりあえずの回避策」の中に、「ショートカ
ットのアイコン表示を無効にする」というのがありました。この方法をとると、
秀丸メール上での.LNKファイルアイコンの表示もうまくいかなくなりました。

 ということは、SHGetFileInfo関数でアイコンを取得しようとするアプリケー
ションソフトすべてが対象になると考えておかないとだめかもしれません。


 という状況ですが…。その割にはみなさん静かでして…。

 もしもOutlookExpressも脆弱性の対象になるとしたら、細工された.LNKファイ
ル付きメールを世界中にばらまいたら、世界中がとんでもないことになるような
気がします。Outlook Expressでは、添付ファイルのクリップアイコンをクリッ
クした瞬間にやられるし、ThunderbirdやBecky!とかだとメールを選択しただけ
でも添付ファイルのアイコンは表示してしまうので、そうすると、ただメールを
選択しただけでウィルス感染するとか…。そうなってしまうんですかね?

 秀丸メールでも、例えば「編集・受信解析のやり直し」を実行して.LNKファイ
ルを無理矢理復活させれば同じことになりますけども…

 その辺も含めてもっと注意喚起した方がいいでしょうかね。なんか変に他のソ
フトに対して不安をあおるようなことすると悪いかなぁと思って、そこまでつっ
こんでニュース掲載するには至りませんでしたけども。
[ ]
RE:38840 LNKファイルの脆弱性対策No.38841
秀まるお2 さん 10/07/23 18:26
 
 追加ですが、

     「この脆弱性は悪質な USB ドライブを介してローカルで悪用されるか、
       またはネットワーク共有および WebDAV を介してリモートで悪用され
       る可能性があります。埋め込みショートカットをサポートする特定の
       ドキュメントの種類に、エクスプロイトが含まれている可能性もあり
       ます。 」

 とあるので、たぶんですが、.LNKファイル単独で任意のコードを実行させるの
は無理なんでしょうね。
[ ]
RE:38841 LNKファイルの脆弱性対策No.38842
秀まるお2 さん 10/07/23 18:37
 
 一応、jvnさんに問い合わせてみます。
[ ]
RE:38842 LNKファイルの脆弱性対策No.38881
秀まるお2 さん 10/07/28 18:20
 
 jvnさんから返事がありました。

 具体的にどういうアプリケーションソフトが攻撃対象となるのかについては、
jvnさんがマイクロソフトさんに確認してくれるそうです。

 ただ、こういう情報は、それ自体が悪意のある人にとっても有益な情報となっ
て、例えば特定のメールソフトが攻撃を受けることのきっかけになるかもしれな
いということで、公開される情報には制限がかかる可能性が高い、という話だそ
うです。
[ ]
RE:38881 LNKファイルの脆弱性対策No.38883
秀まるお2 さん 10/07/28 18:29
 
 ちょっと余計なことを書いてしまいました。

> 例えば特定のメールソフトが攻撃を受けることのきっかけになるかもしれな
> い

 これは別にjvnさんがそうおっしゃってる訳ではなくて、単に僕が憶測で書い
ただけでした。紛らわしくてすみません。

 とにかく、あんまり詳しい情報までは出せない可能性が高い、というような話
だそうです。
[ ]
RE:38881 LNKファイルの脆弱性対策No.38888
きいろいまふらあ さん 10/07/28 23:53
 
きいろいまふらあです。

お調べいただきありがとうございます。

私の元の発言を読み返すと、少々きつい物言いでした。失礼しました。

単に「○○していれば大丈夫です」というよりも「××しているとダメです(ダ
メな可能性があります)」という言葉があった方が、注意喚起の仕方として効果
があるのではないかと思料した次第です。
[ ]
RE:38888 LNKファイルの脆弱性対策No.38889
秀まるお2 さん 10/07/29 09:59
 
 「××してるとダメです」とは僕の立場上言えないです。
 (そこまで詳しく分からないので)

 「××してるとダメな可能性がある」というのは、その可能性が非常に高いの
でしたら有益な情報かと思いますが、どの程度可能性があるのか分からないのに
そういう案内をするのもどうかなぁと思います。

 とりあえず、「こうしておけば安心なはず」というのは情報として出していい
かなぁと思った所でした。
[ ]
RE:38889 LNKファイルの脆弱性対策No.38891
きいろいまふらあ さん 10/07/29 22:17
 
きいろいまふらあです。

お考えはよく分かりました。
余計な口出しをしてしまったようですね。
失礼しました。
[ ]
RE:38891 LNKファイルの脆弱性対策No.38892
秀まるお2 さん 10/07/30 12:15
 
 「余計な口出し」ということは無いし、むしろこれを機会にJVNさんへ問い合
わせも出来たのでありがたいご指摘だったような気がします。

 で、やっとですが、JVNさんから連絡が届いたというか、JVNさんに対してマイ
クロソフトさんから連絡が来たようですけとも…。残念ながら、うちのような登
録ベンダー向けに追加で提供出来る情報は無いとのお返事でした。

 (ちなみにうちの会社はJVNさんに、「早期警戒パートナーシップ」というの
に登録してもらってます)

 JVNさんの話によると、マイクロソフトと密接なパートナーシップを取ってる
特定会社さん向けにはもっと詳しい情報も出てるんじゃないかという話ですが、
僕らレベルには公開出来ないらしいです。

 マイクロソフトさんの方での脆弱性対策が済めば、もっと詳しい情報が一般公
開される可能性は高いんじゃないかと思います。それまでは見守るしか無いのか
なぁと思います。
[ ]