不正なMP3に隠れるトロイの木馬 46
ストーリー by Oliver
ひょんなところにバッファオーバーフロー 部門より
ひょんなところにバッファオーバーフロー 部門より
ncube2曰く、"このところ毎日のようにワシのWindowsマシンのアンチウイルスソフトが「アップデートしろー」と言ってくるこの頃であるが、日経新聞のWEB上の記事によると、Linuxのmpg123なるソフトで音楽ワイルを再生すると感染する「ジェイベルズ」なるウイルスが出回っているとのことだ。ちなみにコレ、WindowsやMacには感染しないらしい。
ここでふと気になったのが、「サーバーはともかく、デスクトップOSとしてLinuxを使っている人って、どの位アンチウイルスソフト入れてるの?」。Linuxでのセキュリティ対策ちゅーと、今まではクラッキングの類の方がメインなような気がするが、Linux自身に感染するウイルス対策も本気でやらないとマズイくなるのかな?"
感染活動を行わないので、ウィルスとはいえない。有用なMP3のフリをしているが、実態は不正なMP3ヘッダを利用してmpg123 0.59rおよび0.59sの開発ブランチのバッファオーバフローを利用してユーザのホームディレクトリを空にしてしまうので、トロイの木馬だ。特定のMP3プレーヤの特定のバージョンでのみ発生し、問題のファイルは他のプレーヤではゴミにしか聞こえないとはいえ、プレーヤのバグを狙って純粋なデータに潜む、というのは新鮮だ。
Linux で アンチウイルスソフト (スコア:2, 興味深い)
こういうの [impress.co.jp]を購入するのも悪くはないでしょうけど、ウィルスデータベースの更新に継続的な金銭的コストを負担することが条件になってしまいますし。
- Ryuzi Kambe -
Re:Linux で アンチウイルスソフト (スコア:2, 参考になる)
知ってる限りでは
かなぁ。後者は上のOpenAntiVirusProjectのウィルスデータベースを利用でしているようです。
ただ、OpenAntiVirusのウィルスパターンで検出できるウィルスも少なく、ウィルスパターンの更新も遅いです。ここ [openantivirus.org]の通り最終更新が2002/10/29ですしね。
やはり、新しいウィルスに対して解析してパターンを作る作業はちょっとやそっとでは出来ないのでは無いでしょうか。
---Shogo Sato
一昨年には (スコア:1)
確かIPA絡みぢゃ。
Re:一昨年には (スコア:1)
Sophosありますよ (スコア:1)
自宅PCに使ってます。
ただ、リアルタイムスキャンはないですが。
(Win版にはあります)
# 転職しよーか、なぁ。
そんなにめずらしい? (スコア:2, 興味深い)
で、私が危惧しているのは、こういう「データにもぐりこむウィルス」と、コンピューターと家電がつながるとゆー、今時の家電・パソコンメーカー各社さまが頑張ってることが実現してしまうと、じきに
そんなわけで、バグはゼロには出来ないという事実を考えると、今後の家電製品はあらゆるファームウェア書き換え可能にしないと怖くて売れないな、そうなると確実に値上がってこのご時世にはさらに売れなくなるなあ、などと思ってしまうわけです。
しかしどっちにせよ家電機器でファームウェアの書き換え、とかいうのはちょっといやーん。
# 関係者だけど他人事っぽく思ってるのでID
-- Takehiro TOMINAGA // may the source be with you!
むしろ・・・ (スコア:1)
> 2.一度見るとそのDVDレコーダーでは二度とタイマー録画が出来なくなるMPEGファイル
家電業界はこれを逆手にとって、
「正規の手段以外で入手した音楽・映像を再生すると
データが壊れてしまう恐れがあります」
と宣伝するだけではないかと。
Re:そんなにめずらしい? (スコア:0)
AV機器だと、ソリッドオーディオを始めとして
結構増えてきていると思います。
いやーんな理由を教えていただければ幸い。
まあ、生理的な感情ならば仕方ないで
Re:そんなにめずらしい? (スコア:1)
ファームウェア書き換えが必要になってしまう機械というのは現状増えてきているし、自分はアレゲなので「おおまた新しいファーム出てる!」「これで機能が増えるといーなー」とかわくわくします。ユーザー啓蒙という意味でもいいものである、という点についても同意します。
-- Takehiro TOMINAGA // may the source be with you!
Re:そんなにめずらしい? (スコア:2, 興味深い)
#言い換えれば、「バグあるけど、出荷しちまえ~」なわけで(^^;;
それはさておき、ファームウェア書き換え可能な機器ってどんどん増えてますよね~。
単に
(1)マスクROM(特に容量の大きいもの)を作ってくれるメーカーが激減した
(2)フラッシュROMでも極端に高コストにはならない
(3)内部にログやら設定情報を持つ機器が増えているのでどうせ不揮発メモリを持たなきゃならないなら安くなる場合もある
(4)出荷直前までファームウェアデバッグができる(汗)
(5)出荷してからもファームウェアデバッグができる(滝汗)
というだけなんでしょうが・・・。
#ちなみに、自分が関わる仕事では(1)だったりする・・。
Re:そんなにめずらしい? (スコア:2, 参考になる)
UV EPROMも仲間にいれてやってください。
昔2732Aで十分な基板に27C128や27C256を実装しつつもったいないなあと思っていました。ひそかに複数バージョンを載せたROMを出荷したり、容量増を活用はしましたけど。
ところで、NTTドコモの携帯電話もバグ発覚時に、端末交換からファームのみ書き換えに徐々に移行するようです。これからもソフトで機能を実現する機器が増える一方でしょうから、「ファーム書き換え」(あるいはそれにかわる4文字熟語がメディアによる流布)が日常会話で使われる日も近いと思います。
BS/地上波デジタルTVでは放送規格でファームウェア書換ができるようなデータを送れる仕組みができていたりしますので、知らぬ間に書き換わって焦るという楽しみ(笑)も増えそうです。
#実際にはメール等で告知するみたいです。
Re:そんなにめずらしい? (スコア:0)
Re:そんなにめずらしい? (スコア:0)
http://www.shadowpenguin.org/sc_advisories/advisory039.html
3年前ですね。
本気にしちゃいやよ (スコア:1)
となると、ウイルス業界(そんなものないです)のターゲットとしてLinuxも無視できない数がある、という認識の結果なのでしょう<ホントか、それ。
こうなると一番安全なのはOS/2ですな、やっぱ(爆笑)
なんてったって、ユーザー数が劇小ですし。あうあうあう(号泣)
-----------------
#そんなワタシはOS/2ユーザー:-)
Re:本気にしちゃいやよ (スコア:1, おもしろおかしい)
Re:本気にしちゃいやよ (スコア:1, 興味深い)
残念ですが全く違います
こいつはMP3プレイヤー多種に存在する脆弱性を指摘するためのコンセプトウイルスでして、被害が大きくならないようにマイナーなものを選んでexploit実装したんです。
WindowsMediaPlayer対象のとか作ったら、マジで実行する奴出そうじゃん。
# RIAAおちょくったり、ネタの部分も多々ある
ユーザ数が少ないからLinuxにしたんです。残念(笑
Re:本気にしちゃいやよ (スコア:0)
それこそ、あっという間に広まりそうですねぇ
Re:本気にしちゃいやよ (スコア:1)
超漢字 [chokanji.com]でしょう。
--
そんな私は超漢字ユーザー。
We are the keepers of the sacred words "ni"!
ひょんなところにバッファオーバーフロー 部門 (スコア:1)
何気な疑問点。 (スコア:1)
「C で書かれていて,他のディストロで動作する様に書き換える事も可能であろう」と
あるが,感染した mp3 からそのコードを抽出する事はそんなに簡単なのでしょうか?
チョイと疑問に思ったので書いてみたり。
あと発動すると「ホームディレクトリを削除する」との事ですが
root で動かして無ければ最悪の自体は回避出来るって事?
mpg123 動かすのに root権限要るとかだと話し終わっちゃうけど。
それはさて置き「音楽ソフトを不正共有する利用者を狙った」って
記事にあるけど,mp3 は「音楽データ」じゃないのでしょうか?(苦笑)
Re:何気な疑問点。 (スコア:1)
記事中の『音楽ソフト』という語は、『コンピュータ・ソフトウェア』の意味ではなく、『作品』という意味で使われていると思います。デイリー新語辞典の解説 [goo.ne.jp]の2つ目のほうね。
# そのほかは1番目の意味と思われるのでまぎらわしい
儂も疑問 (スコア:0)
1. mpg123の独自仕様で任意のコードが実行できるようになっている
2. 実はMP3自体、任意のコードが実行できる仕様だったりする
3. ニュースソースが嘘、大袈裟、紛らわしい
どれが正しいんでしょうかね…
3.は論外として
Re:儂も疑問 (スコア:2, 興味深い)
01-jinglebellz.cというのが、公開されています。これをコンパイルするとMP3を書き出す実行可能バイナリが出来上がります。01-jinglebellz.cのstruct xplのメンバーのaddrlocの値を調節すれば、他のLinuxディストロでも動作するようになるでしょう。MP3ファイルに埋め込まれるlinux_shellcodeですが、これはLinuxのシステムコールを使っているので、Linux以外に対応させるためには、linux_shellcodeの部分を新規に作る必要があるでしょう。(その作業が「簡単」と言えるかどうかはわかりませんが...)
現状では1つのMP3ファイルで複数の環境に対応させることはできず、環境ごとに専用のMP3ファイルを作る必要があります。また、私は最初は「./jinglebellz 1 evil.mp3」とか実行すれば、任意のMP3ファイルにコードを埋め込むことができると思ったのですが、そうではなくて作られるMP3ファイルは決まっています。
Windowsに比べてUNIX系では単一のバイナリが広く流通しないので、この種のセキュリティーホールを狙ったウイルスを流行らせるのは難しいです。
なお、出来上がった実行可能バイナリと、これを実行したときに作られるMP3ファイルはNortonでウイルスとして検出されました。
全部違います。「mpg123のバグで任意のコードが実行できてしまう」というのが正解です。
Re:儂も疑問 (スコア:1, 参考になる)
これが一番近いかな。
WindowsMediaPlayer、Winamp、mpg123、xmmsに対して同種の脆弱性が見つかっており、そのうちmpg123実装をやってみたのがこいつ。
参照:音楽業界がP2P感染のワーム作成? [zdnet.co.jp]
Re:儂も疑問 (スコア:0)
と書いてありますが???
Re:儂も疑問 (スコア:0)
SecurityFocusの方の投稿を流し読みしたのが敗因くさい。
Windows Media Player、WinAMP、Xmms、MPG123で演奏即発動なexploitを実現したが、ひとまずMPG123のコードだけ公開した
が正解で、手法や理論が共通って訳ではない、って事かな?
くう、英語....
Re:何気な疑問点。 (スコア:0)
個人的には root でなくてもホームディレクトリがふっ飛んだらかなり最悪に近い状況かと思います。
# 何をもって『最悪の事態』とするかにもよりますが。
Re:何気な疑問点。 (スコア:0)
私の手元のFreeBSDマシンだとrootのホーム "/root" には.cshrcとか以外は何も置いて無いんですけど、昔なつかしSunOS4.xだとrootのホームが "/" だったりしましたね。Linuxだとどんな感じなんでしょうか?
Re:何気な疑問点。 (スコア:0)
一般的な Linux ディストリビューションでは、 root のホームは /root ですね。(そうなっていないのって、あるんでしょうか?)通常は最低限の dot ファイルぐらいしか無いと思います。ただ、一般ユーザアカウントを作らずに普段から root を使っている人もいたりするかとは思います。
い
Re:何気な疑問点。 (スコア:0)
> 元の人が
Re:何気な疑問点。 (スコア:0)
どきっとするコメントありがとう、と関係ないのに感謝。
最近rootでいるときのポリシーがヅンヅン劣化してます、
ドライバ書いてるときにKDEのセッションにいたりすると
そのままゴテゴテしたこと
Re:何気な疑問点。 (スコア:1)
/etcに置いておくのがなんとなく気持ち悪いので。
Re:何気な疑問点。 (スコア:1)
[root@inspiron 02:12:32 root]# pwd
/root
[root@inspiron 02:12:32 root]# ls -a
. .. .bash_history
[root@inspiron 02:12:33 root]#
This cookie has a scrap of paper inside. It reads:
If you can't learn to do it well, learn to enjoy.
不正なMP3というと (スコア:1)
「再生ソフトmpg123を狙ったトロイの木馬」でLinux Topicなり、
より正しい情報を伝える見出しにするべきではなかったでしょうか?
スポーツ新聞的なあざとい見出しは好きになれません・・・
mpg123 がダメ? (スコア:1)
じゃあ、 mpg321 [sourceforge.net] 使えばいいや。(違
321と123 (スコア:1)
コマンドラインオプションなどは 123 の互換です。
which mpg123 で答えが返ってきたから、と、慌てずに。
間違えないようにしなきゃ。
Re:321と123 (スコア:1)
Re:321と123 (スコア:0)
RAV AntiVirus for Linux i386 (スコア:1)
ravav -RP /usr/local/rav8/rave -VIRLIST |grep -i 'bell'
Bell.286
Bell.337
HellBell
(重複省略)どれも違うらしい.う~む,お金払ってるのにこれでは..名前違うのかな?
さらなる恐怖(今のところは、フィクション) (スコア:1)
インターネットからダウンロードした mp3 ファイルは持っていないので安心、と思っていたら今度はエンコーダソフトのソースコードが不正に書き換えられ、トロイの木馬入り mp3 を作成するようにされていたことが判明、とか。
疑問。 (スコア:1)
mpg123 0.59r も影響を受けるのですか?
Re:疑問。 (スコア:1)
>It seems, that only the pre0.59s version is vulnerable.
とあるので、0.59sだけじゃないでしょうか。
僕は該当するコードを確認するまでは使わない予定です。
This cookie has a scrap of paper inside. It reads:
If you can't learn to do it well, learn to enjoy.
きなくさい話らしい・・・ (スコア:0)
Re:きなくさい話らしい・・・(オフトピ) (スコア:1)
MI6の方では?
「・・・なお、このmp3ファイルは、自動的に消滅する。」とか いって、HDDごとあぼーん(w
#MI6で想像するのは、007 or バンコラン?
---------+---------+----------+
年をとるのは素敵なことです。
Re:きなくさい話らしい・・・ (スコア:0)
# いや、分かっているとは思うんだけどね。
音楽ワイル (スコア:0)