SNS Advisory No.33
Trend Micro InterScan WebManager Version 1.2 RegGo.dll Buffer Overflow Vulnerability

Problem first discovered: 6 Jun 2001
Published: 21 Jun 2001

概要：
悪意あるモバイルコード対策ソフトウェアであるTrend Micro社製 InterScan WebManager Version 1.2の管理用Webコンソールに使用されているRegGo.dllにバッファオーバーフローの問題を発見しました。リモートからSYSTEM権限で悪意のプログラムを実行されてしまう可能性があります。

問題：
Trend Micro社製 InterScan WebManagerには、管理用のWebコンソールを提供することのできる機能があります。この管理用Webコンソールに用いられるプログラムのひとつであるRegGo.dllにはある特定の引数が与えられた場合にバッファオーバーフローを発生させてしまう問題があります。

以下はバッファオーバーフローが発生した際のメモリダンプの一部およびレジスタの内容の例です。

メモリダンプ例：
00F0FC68  41 41 41 41  AAAA
00F0FC6C  42 42 42 42  BBBB
00F0FC70  43 43 43 43  CCCC
00F0FC74  44 44 44 44  DDDD
00F0FC78  45 45 45 45  EEEE

レジスタ例：
EAX = 00F0FC6C
EIP = 41414141

従って、call eaxを呼び出すことにより、メモリアドレス00F0FC6Cから任意のコードが実行されてしまう可能性があります。

問題を確認したバージョン：
Trend Micro InterScan WebManager Version 1.2

問題を確認したOS：
Microsoft Windows NT Server 4.0 + SP6a[English]

対策情報：
Trend Micro社にこの問題を報告し、次期バージョンで修正するという旨の回答を得ることができました。しかし、具体的なリリース時期等についての回答を得ることはできませんでした。

したがって、次期バージョンがリリースされるまでの間は、管理者のみアクセスできるようにIPアドレスなどによってアクセス制限を行うことを推奨します。

発見者：
新井悠（LAC） y.arai@lac.co.jp

免責：
このアドバイザリで示される情報は予告なしに改定されることがあり、かつ、あるがままの形で提供されます。この情報を適用し生起される結果のリスクは利用者が負うものとし、株式会社ラックは一切の責任を負わないものとします。

再配布について：
このアドバイザリの再配布は、下記条件を満たす限り自由です。

発行元URLとして、以下のURLを明記する。
http://www.lac.co.jp/info/advisory/33.html