Microsoft Windows winhlp32.exe (Integer,Heap)Overflow Vulnerability

SA13645

Secunia - Advisories - Microsoft Windows Multiple Vulnerabilities(SA13645)は、2004-12-25に最初に発行され2005-03-09が最終更新日になっています。Solution Status: Partial Fixですので、脆弱性対応のパッチはまだ部分的にしか提供されていないということになりそうです。

同アドバイザリーは基本的に3個通りの脆弱性についてのものです。以下に。

  1. The vulnerability is caused due to an integer overflow in the LoadImage API which can be exploited to cause a heap based buffer overflow. This can be exploited through a website by using maliciously crafted icon, cursor, animated cursor, or bitmap files.
  2. Some errors in the Windows Kernel when parsing ANI files may cause the system to crash. This can be exploited through specially crafted ANI files.
  3. The vulnerability is caused due to a heap overflow and an integer overflow in "winhlp32.exe" when handling HLP files. This can be exploited through specially crafted HLP files.

同アドバイザリによれば上の1番と2番はMS05-002: カーソルおよびアイコンのフォーマットの処理の脆弱性により、リモートでコードが実行される (891711)の修正パッチでFIXされているとされています。また、3番はまだベンダーによるsolutionは提供されていないとのこと。てっきり、MS05-001 HTML ヘルプの脆弱性により、コードが実行される のことかと思い込んでいました。ヘルプという言葉に騙されていた模様です。てへへ

MS05-001 は 'hhctrl.ocx' の脆弱性から来る、HTML ヘルプ ActiveX コントロールのクロス ドメイン脆弱性 - (CAN-2004-1043) なのですね。そして、Secuniaのアドバイザリーの3番は、'winhlp32.exe' のIntegerOverflow(CAN-2004-1361)とHeapOverflow (CAN-2004-1306) なのですねぇ。修正パッチを出すほどでもない脆弱性ということなのでしょうか?素人なのでよくわかりませんがヒープバッファオーバフローとか整数オーバフローとかは場所さえ特定出来てしまえば直すのは簡単なのではと思うのですけれど違うのかなぁ。オーバフローしているかどうかの検査って確かに大変なのかもしれませんけれど。まぁ定例のWindowsUpdateもお休みでしたのできっと危険なしろものではないというお考えなのでしょう。

画像とかアニメアイコンとかを見た瞬間にヤラレ(MS05-002)というのは確かに超危険だったので早く修正パッチが出てくれて嬉しいのですが、(ヘルプを操作するなど)人間の手が介在してはじめて悪意あるコードが実行されるタイプの問題への修正には及び腰のような気がします。同じ工数だろうとしか思えないのですよ。どちらもオーバフローですしね。

追記

この件、Re: MS05-002で CAN-2004-1306は? : 投稿 : HotFix Report BBSの記事の方が簡潔でよろしいかと。

Windows98/98SE/MeへのMS05-002適用で様々な不具合

2005/04/13追記:MS05-002ないしKB891711関連を検索してご訪問頂いた方にご案内いたします。当日記の記事、■MS05-002改訂版 for Windows 98、98SE および ME がリリースされました。を是非ご覧下さい。不具合修正の為の改訂版のパッチが出ているようです。

Win98系にようやく出たMS05-002でしたが適用することによって様々な不具合が出ているとのことです。下記をご覧下さい。

上のスレッドによれば不具合は以下のようなものであるようです。

  • デスクトップが表示されない
  • EXCELが起動しない
  • 何かしようとするとブルースクリーン
  • ログイン後に不安定になって落ちる。

この他、海外でのトラブルでは、Firefoxがクラッシュして使えなくなるという報告も。

なつかしのDr. Watsonが、「Windows KB891711 component が Windows system filesを変えてしまっている」というエラーメッセージを出すそうで。

特徴として、KB891711.EXEが、スタートアップフォルダにはいっていること、そして、さらにはレジストリにおいて自動起動されるサービスとしても登録されているとのこと。(変だにゃぁ)

C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE 
HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

この起動されている背景タスクであるKB891711.EXEを殺すことでシステムは安定に向かうと言われていますがどうなのでしょうか。KB891711.EXE(MS05-002)をアンインストールする人も少なくないでしょうね。OSレベルで不安定になったら困りますので。でも、MS05-002を当てていないとやられてしまうスパイウェア(感染もする)があるとニュース記事にもなっていましたので簡単にパッチをはずせば良いというわけにもいきません。

余談ですが、ここ数日で検索エンジンに徐々にKB891711.EXEの文字がのっている記事(海外)が増えています。特にスパイウェア関連で「調子がおかしいから」HijackThisというツールで状況レポートを出力、それを丸ごとBBSに貼り付けて皆に相談する、このような状況が発生しつつあると思われます。スパイウェアのせいではないかもなのですねぇ。

追記(3/13):セキュリティホール memoさんでも取り上げ

3/13追記 - セキュリティホール memoにこの件が取り上げられています。

う〜ん。一刻も早く公式再修正パッチが欲しいところですね。

続きとして海外におけるMicrosoftテックサポートの様子を書きました。興味深いです。

シュレーディンガーの猫と観測問題

観測問題

観測問題、パズルの話題ではありません。物理学的にはコンセンサスの得られていない自然哲学の問題とでも言えばいいのでしょうか。観測問題を中学生の時に知ってから私は人生の中でたびたびシュレーディンガーの猫の話題に想いを馳せるのです。個人的には面白すぎなのです。はてなのキーワードから拾って見ましょうか。

フォン・ノイマンはその著書、「量子力学の数学的基礎」で量子力学の数学的な基礎付けに成功しました。この本、70年近く読まれているのです。無限次元線形空間を基礎としてその世界の上での宇宙を記述する方法を発見したということになりましょうか。

ノイマンは(政治的には超タカ派ソ連に一国も早く原爆を落とせと常に言っていた人なのです、キライ。)物理学上の大問題「収縮はいつどこで起きているか」について人間の意識内で起きていると言いました。

私はノイマンの意見に賛成できません。人間が滅びたらこの宇宙において収縮が発生しない、人類の誰も観測しないから観測問題など存在しない、という意見には同意しかねます。あまりに主観的で、心に宇宙の支配権を与えているような気も致します。

かといって多世界解釈にも与(くみ)しません。我々が住んでいるこの宇宙はひとつです。常に分裂し続けている宇宙観などオッカムの剃刀で一刀両断です。

余談ですが、量子コンピュータが通常のコンピュータとは異なり「デバイスが小さいから演算スピードが速いだけではなく、本質的原理的に演算速度を速めている」という説があります。理論的基礎付けには大体において2派あり、片方は多世界解釈による宇宙論にその根拠をおいています。この宇宙が常にパラレルな並行宇宙を生産しつづけており、量子コンピュータはその並行宇宙から計算結果を盗んでくるのだそうです。たとえば100万桁の足し算をするのならば100万個の宇宙を考えてそれぞれから1桁ずつ答えを持ってくるのですよ。信じられませんよねぇ。2派ある1派が以上のような世界観で研究を進めているわけですが、もう一派はというと、多世界解釈は導入しないものの、数学的定式化については多世界解釈派と同じものを使っているらしいのですね、解釈をしていないだけのよに見えます。本当に量子コンピュータが大成功を収めるとは、今の私にはとても思えません。無論量子デバイスはスケールダウンの効果が出てくるので速度面で大いに有用ですがね。大風呂敷のようなオマケのスピードは出てこないというのが私の考えです。閑話休題

実験結果の説明にコペンハーゲン学派の確率解釈だけで考えておいて、観測問題、波束の収束問題については、深く考えないというのが多くの物理学者の考えではないでしょうか。私はそれもキライなのですよ。確率解釈というのは統計力学に逃げてしまっただけという不満が残るからです。

私にとっての作業仮説ですが(何の?)、観測は(波動の収縮は)まだ未発見の素過程で発生していると思われてなりません。隠れた変数は量子力学の中にはありませんが隠れた事象がみつかるに違いない、そしてその現象は新しい理論を生み出すだろう、新理論を基礎に統計的な処理を施せば現在の量子力学の導出が可能だろう、そのように思うのです。丁度ニュートン力学統計力学として発展しかつての経験値的な熱力学を綺麗に全て説明しつくしたように。

プランクスケールの素過程において「何か」が観測をしている、私たちマクロの存在は全てその観測結果をコピーしたり伝達したりして生まれている記録の保持者なのだと思っています。シュレーディンガーの猫は記録装置です。実験装置の中の放射性元素が崩壊してガイガーカウンターにスイッチを入れるその過程の中に素過程が潜んでいるのでしょう。素過程が何かを見て選択しているのです。選択するがゆえに、この宇宙は多世界を脱してひとつのコスモスになっていると考えています。無限に拡大していく多世界の中からそれぞれの素過程がひとつの宇宙を選択しているのです。

実は私はその素過程には詩的な表現を使えば「英知」があると思っています。もっといえば「自由意思」さえ存在しているとさえ思っています。選択こそが自由意思のアトムです。

ちょうど物質の構成要素にアトム(原子)があるように、私たちの心にもアトムがあるのだと考えています。そしてそのアトムはあくまでもこの宇宙の基本構成要素群と基本構成要素群との間の情報交換であるような素過程です。幽霊のような、心霊的なような、そういう問題ではなくて生き生きと活動する宇宙の唯物的表現なのですね。

■雑記

スキーマ

この日記ではHTMLを手書きで書き下しているわけですが、個人的にはやっぱりスキーマが欲しいですねぇ。スキームではありません。スキーマです。HTMLの書式には無限の可能性があるわけですけれど、スキーマを文書ごとに(丁度スタイルシートのように)与えておけばHTMLの書式を簡略化できるようになっていればいいのになぁと。Wiki的な発想ではありません、念の為。スキーマをひとつのサイトで定義し、あとはコンテンツごとにサブスキーマを定義したい。ほんとにそう思います。

被サーチ

「ニセ札の作り方」で検索してこないように。犯罪です。

マイノリティレポート

スラッシュドットをなにげに眺めていたら映画「マイノリティレポート」について書いてあったので本日DVDを借りてきました。面白かったぁ。犯人は一撃でわかったのですが最後になるまで真の動機はわからなかった。また、神扱いのプリコグ(主としていやおうなしに殺人のみに感知能力が高いゆえに、殺人事件を未然に予防する予言者の役割。但し、その役割のゆえに、人間としての生活は出来ずに機械設備に組み込まれ覚醒しているのでもなく睡眠しているのでもない可哀想な存在)が本来の人間としての立場で重要な示唆を主人公である(私の)トム・クルーズに話しているのですが、それが伏線であることに気がつく人がどれだけいるのだろうとも思いました。キリスト教にもひっかけてあると思うのですが、死者は蘇りあなたを守護するのです。

原作の短編小説も買ったのですが映画と違いすぎ!原作は革命小説だった。