フィンランドのコンピュータ緊急対応センターCERT-FIと英国インフラストラクチャ保護局(CPNI)は17日(現地時間)、アーカイブフォーマットに関するセキュリティ忠告を発表した。アーカイブフォーマットの実装における脆弱性を報告するもので、悪用されるとDoS(サービス拒否)攻撃などにつながるおそれがあるという。

このセキュリティ忠告は、フィンランド・オウル大学Secure Programming Group(OUSPG)のアーカイブフォーマットの脆弱性を調べるテストスイートを利用して、ベンダによる実装を評価した。

OUSPGでは、任意のプロトコル実装テストによるセキュリティリサーチプロジェクト「PROTOS Genome Project」を進めており、今回、この一環として、アーカイブフォーマットテストスイートを開発した。アーカイブフォーマットは、ACE、ARJ、BZ2、CAB、GZ、LHA、RAR、TAR、ZIP、ZOOの10種を対象とし、このフォーマットを取り扱うプログラムをテストできる。プラットフォーム独立技術であるアーカイブ技術は、ファイルやディレクトリの保存、圧縮などを行うもので、さまざまなメディアを経由してのファイル転送や保存に利用されている。

テストでは、有効なファイルを収集し、ファイルの構造を分析してラフモデルを生成、これを利用して似ているが有効ではないファイルを生成する。プログラムは通常、有効ではないファイルを報告し、制御的モードで運行を続けるはずだが、多くはプログラム終了となったり、振る舞いが変わったりした。このような場合、攻撃可能なエラーを生む可能性が高い。これが悪用されると、DoS攻撃、バッファオーバーフロー、さらには悪意あるコードの実行などにつながるという。

テストしたのは、ウイルス対策ソフトやファイアウォールなどのコンテンツ検出技術、VPNやPGPなどの暗号化製品、バックアップソフトウェア、オフィスプログラム、OS/ライブラリなどの分野。

当初のテストではほとんどの実装が堅牢な形ではなく、脆弱性として取り扱うレベルのものも多かった。そこで、同テストスイートをベンダに提供し、自社実装を検査してもらったという。

CERT-FIでは、セキュリティベンダをはじめ約60のベンダ/技術を評価した表を掲載している。米Symantec、米Aladdin、米Microsoft、米Appleなどは「脆弱性みられず」となったが、フィンランドF-Secureや、Debian、FreeBSD、SUSEなどのオープンソースソフトウェアは「脆弱性あり」となっている。