公開日:2011/06/29 最終更新日:2011/06/30

JVN#01547302
ALZip におけるバッファオーバーフローの脆弱性

概要

ESTsoft Japan 株式会社が提供する ALZip には、バッファオーバーフローの脆弱性が存在します。

影響を受けるシステム

  • ALZip v8.21 およびそれ以前のバージョン
開発者によると ALZip v8.21 については、2011年6月29日 12時 より前にダウンロードされたものが影響を受けるとのことです。

詳細情報

ALZip は ESTsoft Japan 株式会社が提供する圧縮解凍ソフトです。ALZip には、mim 形式ファイルの取扱いに問題があり、バッファオーバーフローの脆弱性が存在します。

想定される影響

細工されたファイルを開くことで、任意のコードを実行される可能性があります。

対策方法

再インストールする
ALZip 8.21 を 2011年6月29日 12時 以降に、http://www.altools.jp/ よりダウンロードを行い、インストールし直してください。

開発者によると、「バージョン番号に変更は無いため、自動アップデート等は行われない。対応版では Readme に『- 特定形式の解凍時不具合を修正』という文面が付加されている」とのことです。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
ESTsoft Japan 株式会社 該当製品あり 2011/06/29

参考情報

  1. IPA
    「ALZip」におけるセキュリティ上の弱点(脆弱性)の注意喚起

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2011.06.29における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 ある程度の専門知識や運 (条件が揃う確率は高い) が必要
  • 中 - 高

各項目の詳しい説明

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社フォティーンフォティ技術研究所 舟久保 貴彦 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2011-1336
JVN iPedia JVNDB-2011-000048

更新履歴

2011/06/30
参考情報に IPA 注意喚起へのリンクを追加しました。