Microsoft ASN.1のBERDecBitString()にリモートから攻撃可能なバッファオーバーフローが見つかる

製品・サービス・業界動向業界動向

2005年4月26日（火） 20時30分

サイバーディフェンス社からの情報によると、複数のWindows OS上で動作するASN.1（Abstract Syntax Notation 1）のBERDecBitString()関数に、リモートから攻撃可能なバッファオーバーフローが見つかった。この脆弱性により、Local System権限で任意のコードが実行される可能性がある。この脆弱性を攻撃するコードが実環境に存在する。この脆弱性は、msasn1.dllファイルのBERDecBitString()関数に存在する。この関数はビット文字列をデコードし、データ用に新しいバッファを割り振り、データをコピーする。さらに、データに対するポインタとデータの長さ（ビット単位）を戻す。各要素に対してBERDecBitString()が呼び出され、構造化されたビット文字列（tag 0x23）が処理され、結果が連結される。この関数が構造化されたビット文字列を正しく処理しないため、問題が発生する。

※この情報は株式会社サイバーディフェンス（ http://www.cyberd.co.jp/ ）より提供いただいております。
サイバーディフェンス社の CyberNoticeBasic サービスの詳細については下記のアドレスまでお問い合せください。
　問い合わせ先： scan@ns-research.jp
　情報の内容は以下の時点におけるものです
　【15:10 GMT、4、21、2005】

《ScanNetSecurity》

Scan PREMIUM 会員限定

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵工藤伸治の事件簿サーガ（シーズン 1～6 第1話）

[Web小説] サイバー探偵工藤伸治の事件簿サーガ（シーズン 1～6 第1話）特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向カテゴリの人気記事 MONTHLY ランキング

全カテゴリランキング

Microsoft ASN.1のBERDecBitString()にリモートから攻撃可能なバッファオーバーフローが見つかる

製品・サービス・業界動向業界動向

Scan PREMIUM 会員限定

これまでの 20 年とこれからの 20 年～ Black Hat 2017 ジェフ・モス開会挨拶

総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理（The Register）

Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖（The Register）

Apache Struts 2 において Struts 1 由来のプラグインでの値検証不備により任意のコードが実行可能となる脆弱性（Scan Tech Report）

Scan BASIC 会員限定記事

[セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

[セキュリティホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

リニューアルされた「JSOC」運用開始前に潜入

[数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

[Web小説] サイバー探偵工藤伸治の事件簿サーガ（シーズン 1～6 第1話）

一田和樹作「さよならアカウント」－起こりうる事件来たるべき世界～サイバーミステリ小説アンソロジー

工藤伸治のセキュリティ事件簿シーズン6 「誤算」第1回「プロローグ：七月十日夕方犯人」

工藤伸治のセキュリティ事件簿シーズン5 「ワンタイムアタッカー」第1回「プロローグ：創業社長」

工藤伸治のセキュリティ事件簿シーズン4 「超可能犯罪」第1回「プロローグ：混沌の海のファネル」

工藤伸治のセキュリティ事件簿シーズン3 「エリカとマギー」第1回「プロローグ：破壊」

工藤伸治のセキュリティ事件簿シーズン2「V-CRY」第1回「プロローグ：クラウドハッキング」

カテゴリ別新着記事

製品・サービス・業界動向カテゴリの人気記事 MONTHLY ランキング

ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで（総務省）2017.7.24 Mon 8:00

ネットユーザの1/4が影響する可能性、KSKロールオーバーの特設ページ更新（JPNIC）2017.8.3 Thu 8:00

リニューアルされた「JSOC」運用開始前に潜入2017.7.13 Thu 10:35

3DS「ドラクエXI」に第三者が違法にデータ改ざんしたヨッチ族を確認(スクウェア・エニックス)2017.8.10 Thu 22:00

ランサムウェアの暗号化動作を検知し停止させる「RansomFree」日本語版無償提供開始（サイバーリーズン・ジャパン）2017.7.19 Wed 8:00

SOC運用ノウハウの反映で攻撃プロセスを可視化、検知後の対応を効率化（PFU）2017.7.28 Fri 8:00

VMwareのモバイル基盤サービスを自社導入ノウハウ加え提供、働き方改革にも（NEC）2017.8.7 Mon 8:00

自分の利用しているサーバの状況を確認する方法　不正中継確認2002.8.5 Mon 12:00

DDoS緩和およびWAFのクラウドサービスに、JSOCが対応するMSSを提供（ラック、アカマイ）2017.7.20 Thu 8:00

サイバー攻撃対策要員養成アカデミーに産業制御系システム対応コースを新設（DNP）2017.7.24 Mon 8:00

Scan PREMIUM 会員限定

これまでの 20 年とこれからの 20 年 ～ Black Hat 2017 ジェフ・モス開会挨拶

総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 （The Register）

Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖（The Register）

Apache Struts 2 において Struts 1 由来のプラグインでの値検証不備により任意のコードが実行可能となる脆弱性（Scan Tech Report）

Scan BASIC 会員限定記事

[セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

[セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

リニューアルされた「JSOC」運用開始前に潜入

[数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ （シーズン 1～6 第1話）

一田 和樹 作 「さよならアカウント」－ 起こりうる事件 来たるべき世界 ～ サイバーミステリ小説アンソロジー

工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ：七月十日 夕方 犯人」

工藤伸治のセキュリティ事件簿 シーズン5 「ワンタイムアタッカー」 第1回「プロローグ：創業社長」

工藤伸治のセキュリティ事件簿 シーズン4 「超可能犯罪」 第1回「プロローグ：混沌の海のファネル」

工藤伸治のセキュリティ事件簿 シーズン3 「エリカとマギー」 第1回「プロローグ：破壊」

工藤伸治のセキュリティ事件簿 シーズン2「V-CRY」 第1回 「プロローグ：クラウドハッキング」

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

「新・緊急時報告データ入力プログラム」に任意コード実行の脆弱性（JVN）

Apacheが「Tomcat」の複数の脆弱性を解消するアップデート、適用を呼びかけ（JVN）

TwitterでNintendo Switchの購入希望者を狙った詐欺が横行

インシデント・事故 記事一覧へ

「fx-on」に不正アクセス、9,822件のクレジットカード情報が流出の可能性(株式会社ゴゴジャン)

小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市)

「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス)

調査・レポート・白書 記事一覧へ

日本の従業員がサイバー攻撃を受けた経験は世界平均の約半分、意識の甘さも（A10）

「顔貌売人 ハッカー探偵 鹿敷堂桂馬」柳井 政和（ブックレビュー）

IoT機器の遠隔操作を狙う通信が1年で6.4倍に増加--年次レポート（NRIセキュア）

研修・セミナー・カンファレンス 記事一覧へ

開発者などに向けたアプリケーションセキュリティトレーニングを無償開催（The OWASP Foundation）

コネクテッドカーが持つ潜在的なリスクとセキュリティ対策のための3つの柱

これまでの 20 年とこれからの 20 年 ～ Black Hat 2017 ジェフ・モス開会挨拶

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

ルートゾーンKSKの情報更新など呼びかけ、期限は9月19日まで（総務省）2017.7.24 Mon 8:00

ネットユーザの1/4が影響する可能性、KSKロールオーバーの特設ページ更新（JPNIC）2017.8.3 Thu 8:00

リニューアルされた「JSOC」運用開始前に潜入2017.7.13 Thu 10:35

3DS「ドラクエXI」に第三者が違法にデータ改ざんしたヨッチ族を確認(スクウェア・エニックス)2017.8.10 Thu 22:00

ランサムウェアの暗号化動作を検知し停止させる「RansomFree」日本語版無償提供開始（サイバーリーズン・ジャパン）2017.7.19 Wed 8:00

SOC運用ノウハウの反映で攻撃プロセスを可視化、検知後の対応を効率化（PFU）2017.7.28 Fri 8:00

VMwareのモバイル基盤サービスを自社導入ノウハウ加え提供、働き方改革にも（NEC）2017.8.7 Mon 8:00

自分の利用しているサーバの状況を確認する方法 不正中継確認2002.8.5 Mon 12:00

DDoS緩和およびWAFのクラウドサービスに、JSOCが対応するMSSを提供（ラック、アカマイ）2017.7.20 Thu 8:00

サイバー攻撃対策要員養成アカデミーに産業制御系システム対応コースを新設（DNP）2017.7.24 Mon 8:00

これまでの 20 年とこれからの 20 年～ Black Hat 2017 ジェフ・モス開会挨拶

総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理（The Register）

[セキュリティホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

[Web小説] サイバー探偵工藤伸治の事件簿サーガ（シーズン 1～6 第1話）

一田和樹作「さよならアカウント」－起こりうる事件来たるべき世界～サイバーミステリ小説アンソロジー

工藤伸治のセキュリティ事件簿シーズン6 「誤算」第1回「プロローグ：七月十日夕方犯人」

工藤伸治のセキュリティ事件簿シーズン5 「ワンタイムアタッカー」第1回「プロローグ：創業社長」

工藤伸治のセキュリティ事件簿シーズン4 「超可能犯罪」第1回「プロローグ：混沌の海のファネル」

工藤伸治のセキュリティ事件簿シーズン3 「エリカとマギー」第1回「プロローグ：破壊」

工藤伸治のセキュリティ事件簿シーズン2「V-CRY」第1回「プロローグ：クラウドハッキング」

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

調査・レポート・白書記事一覧へ

「顔貌売人ハッカー探偵鹿敷堂桂馬」柳井政和（ブックレビュー）

研修・セミナー・カンファレンス記事一覧へ

これまでの 20 年とこれからの 20 年～ Black Hat 2017 ジェフ・モス開会挨拶

製品・サービス・業界動向カテゴリの人気記事 MONTHLY ランキング

自分の利用しているサーバの状況を確認する方法　不正中継確認2002.8.5 Mon 12:00