Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM MIME-Version: 1.0 Content-Type: text/plain; charset=ISO-2022-JP Content-Transfer-Encoding: 7bit X-Mailer: Becky! ver 1.25.07 Message-ID: <38240F231D6.5142SHADOWPENGUIN@fox.nightland.net> Date: Sat, 6 Nov 1999 20:21:07 +0900 Reply-To: UNYUN Sender: BUGTRAQ-JP List From: UNYUN Subject: Irfan View32 Ver 3.07 Overflow exploit X-To: BUGTRAQ-JP@SECURITYFOCUS.COM To: BUGTRAQ-JP@SECURITYFOCUS.COM UNYUN@ShadowPenguinSecurityです。 窓の杜等でおなじみの画像ビューワーIrfan View32ですが、Adobe PhotoShop形式 の読みこみ処理に問題がありオーバーフローが発生します。Irfan Viewでは、 画像データの先頭に"8BPS"等の文字列を発見した場合、PhotoShop形式と自動で 判断されるようで、この"8BPS"の文字列に続いて長い文字列を埋め込んだファイ ルを作成しIrfanViewに読みこませることによりOverflowを確認することができま す。 IrfanViewは、画像内部のヘッダ情報などから画像ファイルの種別判定を行 っており、拡張子が異なっている場合でも読みこもうとします。つまり、拡張子 がJPGでも GIFでも同様のオーバーフローが発生する訳です。 このオーバーフローは、スタックレイアウトをうまく調整することによりEIPを取 得できます。つまり、画像ファイルに埋め込んだ任意のコードをIrfan Viewのバ グを利用して実行することが可能です。 画像ファイルの閲覧によるウイルスやトロイ感染の危険性については一般にはさ ほど指摘されませんが、このバグはそういった危険性の典型的な例と言えます。 こういった危険性は、無論画像ファイル閲覧にだけ存在する訳ではなく、インター ネットが普及しつつある現在、ダウンロードされる色々な種類のファイルにそう いった危険性が潜んでいると言えます。 http://shadowpenguin.backsection.net/tools/ex_irfan.c このexploitは、攻撃デモコードを含んだjpgファイルを生成します。このjpgファ イルをIrfanView3.07(Win98)で閲覧すると"exp.com"というプログラムが"c:\"に 生成され、実行されます。 #exp.comは、RZさんが見つけてきたデモプログラムで、何やらぐにゃぐにゃと動 #く気持ちの悪い画像が現れます。特に害はありません。 このexploitにより生成されたjpgファイルは、 http://shadowpenguin.backsection.net/tools/ex_irfan.jpg です。上記のjpgファイルをダウンロードしてIrfan View 3.07で閲覧することに よりこの問題を確認できます。 ----- UNYUN % The Shadow Penguin Security [ http://shadowpenguin.backsection.net ] shadowpenguin@backsection.net (webmaster) % eEye Digital Security Team [ http://www.eEye.com ] unyun@eEye.com