公開日:2005/10/25 最終更新日:2005/11/28

JVNVU#215006
unace にバッファオーバフローの脆弱性

概要

データ圧縮・解凍ライブラリ unace にはバッファオーバフローの脆弱性が存在します。unace がサポートしている圧縮形式のファイルには通常 .ace という拡張子が使われます。

影響を受けるシステム

  • unace 1.2b およびそれ以前
  • WinAce 2.6 未満

    unace.dll を利用しているソフトウエアもあり、意図しない場面で本脆弱性の影響を受ける可能性があります。詳しくは、各ベンダから提供されている情報を参照してください。

詳細情報

想定される影響

遠隔の第三者から受信した、巧妙に細工された圧縮ファイルの解凍処理を行なうことにより、unace の実行権限で任意のコードを実行される可能性があります。

対策方法

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
トレンドマイクロ 該当製品あり 2006/01/24 トレンドマイクロ の告知ページ
ベンダ リンク
ALWIL Software avast! 4.x Revision History
AhnLab ASEC Advisory SA-2005-001 AhnLab V3 Compressed File Directory Traversal and Privilege Escalation Vulnerability

参考情報

  1. US-CERT Vulnerability Note VU#215006
    unace buffer overflow vulnerability

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CAN-2005-0160
JVN iPedia