WinRAR の ZIP アーカイブの取り扱いに起因するファイル偽装の脆弱性(Scan Tech Report)
WinRAR には、ZIP アーカイブ内のファイル名を適切にチェックせず処理してしまう脆弱性が存在します。
脆弱性と脅威
エクスプロイト
WinRAR には、ZIP アーカイブ内のファイル名を適切にチェックせず処理してしまう脆弱性が存在します。
ユーザが WinRAR の GUI から ZIP アーカイブ内のファイルを閲覧した場合、表示内容とは異なるファイル名を偽装した不正なファイルが実行される可能性があります。
脆弱性を悪用された場合の影響度が高いため、Windows 環境で影響を受けるバージョンの WinRAR を利用するユーザは可能な限り以下の対策を実施することを推奨します。
2.深刻度(CVSS)
CVE-ID 未割り当てのため、現状なし
3.影響を受けるソフトウェア
WinRAR 4.20 以前
4.解説
ZIP アーカイブのファイル名は、セントラルディレクトリファイルヘッダ※1で指定されるファイルを表示します。
WinRAR には、ZIP アーカイブ内のファイルを処理する際に、セントラルディレクトリファイルヘッダで指定されるファイル名ではなく、ローカルファイルヘッダで指定されるファイル名でファイルを処理してしまう脆弱性が存在します。
このことにより、ユーザが WinRAR の GUI から ZIP アーカイブ内のファイルを閲覧した場合に、表示内容とは異なるファイル名を偽装した不正なファイルが実行されてしまいます。
なお、IntelCrawler 社※2 によれば、航空宇宙企業などに対するこの脆弱性を悪用した標的型攻撃を確認していると報告しています。
この攻撃は、欧州理事会 (European Council) を装った、FAX.zip という添付ファイル付きのメールが送付され、FAX.zip の中身は、ファイルを偽装したオンラインバンキングのアカウント情報を盗むマルウェア Zeus であったとしています。
※1 http://en.wikipedia.org/wiki/Zip_%28file_format%29
※2 http://intelcrawler.com/report_2603.pdf
5.対策
以下の Web サイトより、WinRAR 5.0.0 以降を入手しアップデートすること
で、この脆弱性を解消することが可能です。
WinRAR and RAR archiver downloads:
http://www.rarlab.com/download.htm
6.ソースコード
(Web非公開)
(執筆:株式会社ラック サイバー・グリッド研究所)
※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録(有料)下さい。
Scan Tech Report
http://scan.netsecurity.ne.jp/archives/51916302.html
ソース・関連リンク
関連記事
Scan PREMIUM 会員限定記事
もっと見る-
国際
12年間子供たちをサイバー脅威から守る ~ CISA、教育機関向けレポートとツールキット公開
幼稚園・小中高校とその学区では、より効率的かつ効果的に学習するために高度なネットワーキング技術を採用してきた。それにより技術的に発展したが、一方でリスクも高まり、全米のK-12教育機関はサイバー攻撃の標的となった。
-
中国、情報セキュリティ産業を2025年に220億ドル規模に
中国政府は自国の情報セキュリティ産業を早急に伸ばす必要がある、と宣言した。
-
生理アプリのデータ販売を違法にする法案提出、診療所周辺のジオフェンシングも禁止
ワシントン州の議員が提案した法案は、生理記録アプリや Google、その他のウェブサイトが消費者の健康データを販売することを違法とし、同時にこの個人情報の収集と共有を困難にするものだ。
-
Foxit Software 社の複数のソフトウェアおける Doc オブジェクトのメモリ制御不備に起因する Use-After-Free の脆弱性(Scan Tech Report)
2022 年 6 月に修正された、Foxit Software 社の製品で遠隔コード実行が可能となる脆弱性のエクスプロイトコードが報告されています。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ

WordPress 6.0.3 以前のバージョンにXSSほかの脆弱性

富士フイルムビジネスイノベーション製のドライバー配布ツールに脆弱性

Androidアプリ「スシロー」に情報漏えいの脆弱性

Proofpoint Blog 第21回「夢は(オマエの財布から)ガッポリ、北朝鮮の“スタートアップ”APT「TA444」とは?」

ISC BINDに複数の脆弱性

pgAdmin 4 にディレクトリトラバーサルの脆弱性
インシデント・事故 記事一覧へ

不正アクセスで決済サービス停止中のメタップスペイメント、1月31日より順次再開

ファイル誤添付メール送信で戒告の懲戒処分

給油所でシステム障害発生 8時間給油停止に

教員MLのつもりが学生MLへ、就職支援に係るメールを誤送信

三春情報センターがEmotet感染、300件程度のアドレス帳データが流出した可能性

東京機械製作所の連結子会社にランサムウェア攻撃、「LOCKBIT2.0」の表示
調査・レポート・白書・ガイドライン 記事一覧へ

2022年1Qセキュリティグローバル動向、農業分野に対するサイバー攻撃やOAuthトークン漏えい事件等整理 ~ NTTデータ

タイやフィリピンより低い日本のDMARC導入率 ~ ようやく経産省がクレカ各社へ導入求める方針

IPA 警察庁 ENISA FBI ・・・、自社に合ったセキュリティレポートとは?

DX推進 重視する人材「情報セキュリティ担当」最多47.9%

顔ぶれは去年と9割一緒、IPA「情報セキュリティ10大脅威 2023」

2年連続記録更新、2022年の上場企業の情報漏えい ~ 東京商工リサーチ調査
研修・セミナー・カンファレンス 記事一覧へ

厚生労働省、医療機関におけるサイバーセキュリティ対策セミナー開催

警察庁・総務省、フィッシングや迷惑メール対策で重要な役割を果たす「官」の役割、具体的な取り組みとは? ~ JPAAWG 5th General Meetingレポート - 2

群馬県高崎市で「サイバーインシデント演習 in 関東」2/14 開催、講師 川口設計 川口氏

全国の情シス50人に聞いた365の弊害や問題点、好評セミナーをオンデマンド配信

CSIJ 公開シンポジウム 1/24 開催、GSX CCO 武藤氏ほか講演
