公開日:2007年9月26日
独立行政法人情報処理推進機構
セキュリティセンター
本ページの情報は2007年9月時点のものです。
記載の資料は資料公開当時のもので、現在は公開されていないものも含みます。
ネットワーク通信を介してファイルを受信する場合、そのファイルの中に攻撃が仕込まれていることを想定する必要がある。
受信ファイルがもたらす被害には、次のものが考えられる。
受信ファイルがもたらす被害に対しては、次のような対策が必要である。
次のふたつを行う。
ウイルス等を検査するための呼び出しを行う
格納先パス名パラメータへの検査を厳密に行い、特定ディレクトリ下以外には格納しないようにする
ファイルのサイズ、個数を認識し、数量的制限を設ける
Webスクリプトで他ファイルをinclude命令等で呼び出す際、特定ディレクトリ下以外のファイルを呼び出さないよう制限を設ける
十分な検査をパスしたファイルのみを開示するように制限を設ける
画像、音声、動画等のマルチメディアコンテンツファイルを再生するライブラリソフトウェアにはしばしば脆弱性が見つかっている。その背景には、マルチメディアコンテンツのファイルフォーマットは多くの構成部分から成り、要素の個数やデータの長さ等を記述するフィールドが複雑に配置されていることが挙げられる。
また、これらのライブラリソフトウェアの脆弱性対策が必ずしも円滑に進まない事情もある。権利者からライセンスを受けて利用する形態のライブラリの場合、脆弱性対策を施す必要があっても、それを利用してソフトウェアを構築する側による検査と改造が困難である。
ファイル関連ライブラリの脆弱性についてのいくつかの例を、次に挙げる。ただし、これらはごく一部であり、ほかにも多数の脆弱性情報がある。(注釈)
CVE-2007-4033 php_gd2.dll(グラフィク)
CVE-2007-3641 libarchive(圧縮アーカイブ、FreeBSD)
CVE-2007-3121 Zapping VBI Library(テレビ画像)
CVE-2007-3106 libvorbis(オーディオ)
CVE-2007-2981,CVE-2007-2787 LEADTOOLS(画像処理)
CVE-2007-2919 FlipViewerX.dll(電子ブック)
CVE-2007-2645 libexif(デジタルカメラデータ)
CVE-2007-2498,CVE-2007-1921 Winamp(音声)
CVE-2007-2222 Xlisten.dllとXvoice.dll(Microsoft Internet Explorerの音声処理)
CVE-2007-1997 Clam AntiVirus(ウイルス対策)
CVE-2007-1910 wwlib.dll(ワードプロセッサファイル、Microsoft Word)
CVE-2007-1614 ZZIPlib(圧縮アーカイブ)
プログラムがネットワーク等を通じて受信するファイルには、攻撃パターンが潜んでいるおそれがある。複数種類の侵害ケースがあり得、それぞれ備える必要がある。
既存ライブラリを利用してマルチメディア系のコンテンツを再生する場合は、それらのライブラリに潜む脆弱性への対処も欠かせない。