vuln.sg  

vuln.sg Vulnerability Research Advisory

WinImage における FAT Image バッファオーバーフローの脆弱性

by Tan Chew Keong タン チュー ケオン
Release Date: 2007-05-17

   [en] [jp]

概要

WinImage に二つバッファオーバーフローの脆弱性があります。悪意のある人は、この脆弱性を利用し WinImage ユーザのシステムに、任意のコードを実行こ とができます。


問題を確認したバージョン

WinImage 8.0.8000 (English Trial version)


問題

WinImage に二つバッファオーバーフローの脆弱性があります。

1) Stack-based バッファオーバーフロー

巧妙に細工された FAT IMA のファイルをオープンして、異常長いディレクトリ名のファイルを解凍した時、バッファオーバーフローが発生しました。悪意のある 攻撃者は、この問題を利用し WinXP SP2 で、WinImage を実行するユーザの権限で任意のコードを実行できる可能性があります。

2) Heap-based バッファオーバーフロー

巧妙に細工された FAT IMA のファイルをオープンして、異常長い名のディレクトリをダブルクリックした時、バッファオーバーフローも発生しました。悪意のある 攻撃者は、この問題を利用し WinXP SP2 で、WinImage を実行するユーザの権限で任意のコードを実行できる可能性があります。


脆弱性のテストファイル

これは脆弱性のテストのためのファイルです。この IMA ファイルは、バッファオーバーフローを利用し calc.exe を実行します。この IMA ファイルは、英語版の WinXP SP2 が必要です。

  • winimageEXP.ima (バッファオーバーフローを利用し、英語版の WinImage で calc.exe を実行します)
  • winimageCRASH1.ima (バッファオーバーフローを利用し、WinImage を異常終了にします)
  • winimageCRASH2.ima (バッファオーバーフローを利用し、WinImage を異常終了にします)

Instructions to reproduce vulnerability 1 (stack-based buffer overflow):

  1. Download the POC "winimageEXP.ima" and "winimageCRASH1.ima" files and save it to the hard-disk.
  2. Run WinImage.
  3. Open one of the POC IMA files in WinImage.
  4. Right-click on the folder with the name "AAAABBBBCCCC..." and choose "Extract" from the context menu. The "Extract" dialogbox will popup. (See screen capture below)
  5. Type in "C:\" as the path and select "Extract with pathname". (Please note that the exploit assumes that you'll extract into "C:\". Changing this to something else may cause the exploit to not work correctly.)
  6. Successful exploit will run calc.exe or crashes WinImage.

  

Instructions to reproduce vulnerability 2 (Heap-based buffer overflow):

  1. Download the POC "winimageCRASH2.ima" file and save it to the hard-disk.
  2. Run WinImage.
  3. Open the POC IMA file in WinImage.
  4. Double-click on the folder with the name "AAAABBBBCCCC..."
  5. Successful exploit will crash WinImage due to corrupted heap.
 


対策

FAT IMA のファイルから、ファイルを解凍しないでください。そのうえ、 FAT IMA のファイルをオープンしたら、異常長い名のディレクトリをダブルクリックしないでください。


発見と報告の経緯

2007年05月01日 - 脆弱性の発見。
2007年05月03日 - ベンダーに報告しました。(ベンダーが答えない)
2007年05月04日 - 再度ベンダーに報告しました。
2007年05月04日 - ベンダーから答えを受け取りました。
2007年05月17日 - ベンダーは、いつ修正版をリリースするかどうか、しらない。
2007年05月17日 - 本脆弱性の公開。

Contact
For further enquries, comments, suggestions or bug reports, simply email them to