2008年04月30日 バックナンバー

« 2008年04月24日 | トップ | 2008年05月16日 »

2008年04月30日

釈然としない・・・(日常非日常)

立場上、あまり公にこんなことは書きたくないのだか、どうにも釈然としないもやもやっとした気持ちがあるので敢えて・・・オフレコみたいなもんかな(笑

他でもないが、情報処理推進機構・セキュリティセンターが公表した Lhaplus の脆弱性についての報告だ。

「Lhaplus」におけるセキュリティ上の弱点(脆弱性)の注意喚起

疑問のひとつは、なぜ Lhaplus だけが?と言うこと。そしてもうひとつは・・・
実は Lhaplus の脆弱性の問題は今回が初めてではない。上記の報告にも言及されているが、過去にも二回同様の報告があり(2007/9/21と2007/11/22)、そのつど修正されている(この種の報告はベンダーが修正してから公表されることが多い。11/22のものは実際には10/13に報告があったものだし、今回のものは2/13の報告の分の、修正を待っての公開だ。9/21については情報がないのでわからない)。

今回の報告については、元々の脆弱性の報告が「(株)フォティーンフォティ技術研究所 鵜飼 裕司氏」によってなされたものであることが明記されている。
また、日経パソコン(オンライン)の記事によれば2007年9月の報告も鵜飼氏によるものだという。
さらにセキュリティセンターの報告を注意深く読めばわかるが、いずれも

Lhaplusは、電子ファイルのデータサイズを小さくすることなどを目的に、データを圧縮して保存したり、またその圧縮したデータを元のデータに戻したりする機能を持つソフトウェアの一つです。Lhaplusが対応する圧縮形式には、lzh形式やzip形式などがあります。

 Lhaplusには、ファイルの展開処理に問題があり、バッファオーバーフローというセキュリティ上の弱点(脆弱性)が存在します。

となっていて・・・つまりは三件とも鵜飼氏によるリサーチ&報告であることが類推される(あくまで類推の域を出ないけれど)。

何が釈然としないかと言うと、

1.そもそもなぜ Lhaplus なのか。というか、Lhaplus だけなのか?

2.三回それぞれ別の脆弱性だとワザワザ明記されているが、いずれもバッファオーバーフローと言う「古典的」な凡ミス(と言うか・・・これは後記)なのに、なぜ最初の報告の時に他もわからなかったのか?

3.経歴を見ると、鵜飼氏や彼の属する(株)フォティーンフォティ技術研究所は怪しげな会社ではなさそうなのだが、なぜにこれほどまでに Lhaplus に執着しているのか?

まず1.についてが最も謎だ。
そもそも、展開(解凍)処理の主要なコード部分と言うのは、Lhaplus 作者が独自に開発したものではなくて、LHA.EXE (またはその派生物)からの流用だ。この点に関しては、本家LHA.EXEはもちろん、lzh展開をするソフトのほとんどすべて(一部のzipや他の形式の展開も含む)と言っていいくらい、この流用コード物なので・・・
もちろん独自に脆弱性を修正したソフトもあるはずだから、すべてがすべてこの脆弱性を持っているとは言わない(われらの UNLHA32.DLL もMiccoさんが精力的に修正しているので、もう残っていないはず)。
Lhaplus は日経パソコンの勝村氏によれば「国内で広く使われている」とのことだが、それほど突出しているわけでもない。まぁ、多くのユーザがいるのは事実だろうが・・・他にも同様の脆弱性を抱えたままで広く使われているソフトも何種類かあるはず(めんどうなので調査なんかしないが:w)。

2.も、専門家が徹底調査したうえ、開発者が見直したのなら三回に分けて出て来ないと思うのだ。実際、同じ鵜飼氏による調査と見られる、ジャストシステム「一太郎ファミリー」における脆弱性と言う報告が1月7日に出ているが、こちらは一太郎、花子などを一括しての報告だ(鵜飼氏の指摘は一種だけだったのかも)。

逆に言うと、情報処理推進機構が公開している脆弱情報の中で、鵜飼氏の関与していると見られるのは Lhaplus とジャストの一件だけだ。だから、Lhaplusごとき(敢えてこう言い切るが:w)に、三回も執着している点が解せないのだ。
たまたまなのか?
鵜飼氏が Lhaplus ファン(想像にすぎませぬ)だから?
それとも???
なお、Lhaplus の最初の報告の後、フォティーンフォティ技術研究所は、情報処理推進機構が公募した何件かの調査研究案件に選ばれている・・・


注記:「バッファオーバーフロー」について。
要するにソフト内部に確保したバッファー領域のサイズを超えるようなデータが来た場合に、予想しないような部分が上書きされてしまうというバグの一種。これを防ぐには、その都度データのサイズがバッファーに収まるかどうか、サイズチェックすれば良いだけのこと。
上記では「凡ミス」と書いたし、2008年時点での常識から言えばバグであり、ソフト開発者の凡ミスと言い切ってもいいと思う。
ただ、歴史的なことを言えば、昔はメモリーも高価でプログラムサイズは1バイトでも減らしたい、と言う状況でもあった。そんな状況下で、いつ起こるかわからない(まず起こりえない)予想外の大きなデータのためにサイズチェックするコードと言うのは余計な物でもあった。だから、プログラムサイズを詰めるために、敢えて無視した(つまりチェックしないと言う)設計をするのは常でもあった。その時代には、敢えて抜いたのであれば、それは「凡ミス」でも「バグ」でもなく、むしろ・・・まぁ、それで褒められるってことはなかっただろうが、十分に理屈にあった設計ではあったわけだ。
元々のLHA.EXEも、そんな時代に生まれ育ったソフトだ。チェックコードが入っていなかったからと言って、設計者を責めるわけにはいかない。

投稿者 shoda T. : 00:19 | コメント (4) | トラックバック