2010年7月14日水曜日

LZH書庫(.lzh形式圧縮ファイル)の脆弱性

LHmelt、UNLHA32.DLL等の作者Miccoさんのホームページによると
LZH書庫に存在する脆弱性に対し、多くのウィルスソフト・システムベンダーの対応が進んでおらず、今後の対応も期待できないとのこと。

現状はLZH形式で送られてくる取引先等のメールが相当数存在しているので、LZH形式の添付ファイルを含むメールを全て拒否することは難しい。
標準利用ソフトとしてLZH形式の圧縮を採用している企業、法人もかなりあると思われる。

そこで、現状の対応としては
・LZH形式の圧縮ファイルを作成しない。LZH形式の圧縮を利用しない(zip形式の圧縮を利用)
・メール等で取引先等から送られてくるファイルについては展開後の検疫(ウィルススキャン)を徹底
・LZH形式の圧縮ファイルを利用している送信者にはできれば他の形式の圧縮ファイルを利用するようにお願いする。
・未知の送信元からのメールのLZH形式圧縮ファイルは開かない

以下LHmelt、UNLHA32.DLL等の作者Miccoさんのホームページからの引用
----------------------------------------------------------------------------
注意喚起

 細工されたヘッダーをもつ LZH 書庫については, 多くのウイルス対策ソフト・システムが検疫できません。 (確認できたもので, 2010 年 4 月現在の最新版について 3/16 のみが検疫可能。)  それに対して, 少なからぬアーカイバーは, 仕様上は正しいことから そのような書庫を普通に扱えます。

 そのため, ゲートウェイ形式での検疫による対策方法を採っている場合など, クライアントに対策ソフトがインストールされていない環境では, 殆ど何の苦労もなく侵入・感染が可能となります。 クライアントにインストールされている場合でも, 展開された時点で検疫が可能なものの, プリビュー等ファイルの作成されない場合については検疫が行われません。

 残念ながら, このような状況に対して各対策ソフトベンダーの対応は進んでいませんし, 脆弱性情報として状況が公開されることは (ZIP や CAB, 7z といった書庫については行われているにも拘わらず) 過去も今後も見込めません。

 このようなことから, 特に企業・団体においての LZH 書庫利用は お勧めしません。 中でも, 上記のようなゲートウェイ形式のみで検疫を行っている場合は, LZH 書庫自体を拒否するようにして下さい。
----------------------------------------------------------------------------
引用終わり

Miccoさんのホームページの「お知らせ」
http://homepage3.nifty.com/micco/notes/ann.htm

WindowsXPで圧縮 (zip) フォルダーを作成および使用する方法
http://itl-it.blogspot.com/2010/07/windowsxp-zip.html

0 件のコメント :

コメントを投稿