圧縮書庫のウイルス検索における脆弱性について
細工されたヘッダーをもつ LZH 書庫については, 多くのウイルス対策ソフト・システムが検疫できません。 (確認できたもので, 2010 年 4 月現在の最新版について 3/16 のみが検疫可能。) それに対して, 少なからぬアーカイバーは, 仕様上は正しいことから そのような書庫を普通に扱えます。
そのため, ゲートウェイ形式での検疫による対策方法を採っている場合など, クライアントに対策ソフトがインストールされていない環境では, 殆ど何の苦労もなく侵入・感染が可能となります。 クライアントにインストールされている場合でも, 展開された時点で検疫が可能なものの, プリビュー等ファイルの作成されない場合については検疫が行われません。
とのこと。
この脆弱性を利用されると、以下のような状態が発生することになります。
- ゲートウェイ型ウイルス対策を回避できる。
- メールへ添付された場合、ウイルスの検出ができない。
- ディスク I/O を伴わない圧縮ファイル展開方法が解凍ソフト側に実装されている場合 (プレビュー機能など)、メモリ上にコードを容易に展開できる。
- http://www.vector.co.jp/soft/win95/util/se231387.html といったソフトウェアが容易に手に入るため、そういった環境は作りやすい。
これに対し、Micco 氏は次のような回避策を提案しています。
ウイルス対策ソフトウェアと圧縮ファイルの相性は、これ以外にもいろいろ問題があるように思えます。たとえば巨大・大深度な圧縮ファイルのウイルス検索に膨大な CPU リソースを消費することや、ファイルを分割することでウイルス検索を回避できることなどは、典型的な例でしょう。これらを考慮すると、やまにょんとしては、"圧縮ファイルの使用を全面的に控えること" も検討した方が良いだろうと考えています。また、これらの問題を含め、すべての問題についての早期対策が実現されることを望みます。