米eEye Digital Security(以下,eEye)は現地時間4月21日,ファイル共有ソフト「Winny(ウィニー)」に見つかったセキュリティ・ホールの概要を公表した。同社によると,細工が施されたデータを送信されるだけで悪質なプログラム(ウイルスやボットなど)を実行される恐れがある,危険なセキュリティ・ホールであるという。
Winnyにバッファ・オーバーフローのセキュリティ・ホールが見つかったことは,JVN(Japan Vendor Status Notes)や情報処理推進機構(IPA)から4月21日に発表されている(関連記事)。だたしJVNの情報では,「Winnyが異常終了する可能性がある」としているものの,任意のプログラムが実行される危険性については明記していない(4月22日8時現在)。IPAでも「一般的に,バッファ・オーバーフローの脆弱性は,任意の命令を実行される可能性がある」と表現するにとどめている(4月22日8時現在)。
eEyeの情報によると,今回のセキュリティ・ホールは,ファイル転送用ポートにおける特定のコマンドに存在する。細工が施されたデータをファイル転送用ポートに送られるとバッファ・オーバーフローが発生し,データに含まれる任意のプログラムがWinnyの実行権限で実行される。その結果,Winnyが稼働するコンピュータを攻撃者に乗っ取られる可能性がある。
実際,同社では今回のセキュリティ・ホールを突いてプログラムを実行できることを確認したとしている。
eEyeの情報によると,今回のセキュリティ・ホールは,一般的なヒープ・オーバーフローのセキュリティ・ホールであり,セキュリティ・ホールを突いて任意のプログラムを実行することは容易であるという。
同社では,セキュリティ・ホールの発見から現在までの経緯も紹介している。
3月22日 IPAへ報告
4月11日 IPAは「Winnyの開発者は,プログラムを実行することは不可能だと主張している」と回答。eEyeではIPAと共同で作業を進めるとともに,セキュリティ・ホールの詳細情報を報告することを選択
4月16日 IPAから「諸般の事情により,製品開発者は今回のセキュリティ・ホールを修正することができない」との連絡
4月21日 IPAがWebサイトで情報を公開
4月21日 eEyeがWebサイトで情報を公開
【4月24日追記】住商情報システムは4月24日,eEyeが公開した情報(Advisory)の日本語訳を公開した。日本語訳には,オリジナルのAdvisoryには記述されていない情報がいくつか追記されている。
具体的には,(1)ペイロード中に設置した数百バイトのコード(Bind Shell リモートバックドア)を実行できることを確認した,(2)任意のコードが実行できないとする理由について,IPAおよび製品開発者から連絡はなかった,(3) IPAから,「任意コード実行の件について,引き続き開発者に連絡をとり,確認を行いたい」との連絡を受けており,eEye Digital Securityでは,IPAからの要請があれば,引き続き詳細な情報の提供およびヒープ・オーバーフロー脆弱性攻略に関する技術情報の提供を行う予定である---といった内容が追加されている。 【以上,4月24日追記】
◎参考資料
◆Winny Remote Buffer Overflow Vulnerability
◆Winny2 リモートバッファオーバーフロー脆弱性
