Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM MIME-Version: 1.0 Content-Type: text/plain; charset=ISO-2022-JP Content-Transfer-Encoding: 7bit X-Mailer: Becky! ver 1.25.07 Message-ID: <3885A38D12C.2240SHADOWPENGUIN@fox.nightland.net> Date: Wed, 19 Jan 2000 20:44:13 +0900 Reply-To: UNYUN Sender: BUGTRAQ-JP List From: UNYUN Subject: Word97/98/2000 Converter Patche X-To: BUGTRAQ-JP@SECURITYFOCUS.COM To: BUGTRAQ-JP@SECURITYFOCUS.COM UNYUN@ShadowPenguinSecurityです 先日お伝えしたWord97/98/2000のWord5.0コンバーターのセキュリティ問題ですが、 http://officeupdate.microsoft.com/japan/downloaddetails/2000/MalformedData-2K.htm にパッチが公開されたようです。 早速、Word2000がインストールされたマシンにこのパッチを適用しました。たし かに以前公表したExploitではEIPの制御はできなくなっていましたが、何故かオー バーフローによるものと思われるGFPダイアログボックスが未だ出現します。 #私の環境の問題かもしれませんが。 また、この問題はWord5.0コンバーターに限った話ではなく、Word2.xやWord 4 for mac、Word perfectなど古いタイプの文書コンバーターのほとんど全てにおい て存在しています。担当には去年のうちに連絡が行ってるはずなんですが、何故 か今回の Fixにこれらコンバーターのセキュリティホールの修正が含まれておら ず、かつ何のアナウンスもありません。 簡単な検査を行った結果、以下のコンバーターに同種の問題があります。 Word4.0 for Machintosh (.mcw) Word5.0 for Machintosh (.mcw) Word2.x for Windows (.doc) Wordperfect 5.0 (.doc) Wordperfect 5.0 secondary file (.doc) Wordperfect 5.1 for DOS (.doc) Wordperfect 5.1 or 5.2 secondary file (.doc) Wordperfect 5.x for Windows (.doc) そもそも、Word5.0コンバーターのホールが明らかになった時点でこれらコンバー ターも同様の問題があるかもしれないと疑うべきだと思いますが、ML等にポスト しない限り報告を行ってもFixしないつもりなのかな?と疑いたくなります・・・ 今回のパッチを適用した環境において、Word2.xコンバーターの同種のセキュリティ ホールを利用することができました。 http://shadowpenguin.backsection.net/tools/ex_word2.doc また、セキュリティホールmemoで小島さんがおっしゃってますが、何故かパッチ 情報のページからリンクされている Security Bulletin のページがありませんね。 file://ホールの修正は日本語版パッチがまだ出ないのに、今回は日本語版パッチ が一番早かったようです。ほとんど無意味ですが。 ----- UNYUN % The Shadow Penguin Security [ http://shadowpenguin.backsection.net ] shadowpenguin@backsection.net (webmaster) % eEye Digital Security Team [ http://www.eEye.com ] unyun@eEye.com