中国の検閲ソフトウェアに対するリモートからコードを実行する攻撃コードが公開される

　中国の検閲ソフトウェア「Green Dam」は、最近リモートから悪用可能な軽微なセキュリティホールを持っていることが明らかになったが、このソフトウェアにはこの脆弱性に対する最初の分析で説明されたセキュリティホールに対し、ユーザーへの通知なしでのパッチ適用が行われた（参照：China confirms security flaws in Green Dam, rushes to release a patch）。

　しかし、最新のGreen Dam v3.17が依然としてリモートから悪用可能な脆弱性を持っているだけでなく、この脆弱性を実際に利用することのできるゼロデイ攻撃コード（Exploit.GreenDam!IK、W32/GreenDam.A）が1週間以上前から出回っている。

　最新バージョンのリモートからコードを実行できるセキュリティホールの詳細は、以下の通りだ。

　Green DamはSurfGd.dllと呼ばれるライブラリを使って、インターネットへの通信を横取りする。セキュリティパッチ適用後も、SurfGd.dllはウェブサイトへのリクエストの処理に固定長のバッファを用いており、悪意を持って作られたウェブサイトは、このバッファを溢れさせて実行プロセスの制御を奪うことができる。同プログラムは現在のバージョンではURLの長さと個々のHTTPリクエストヘッダの長さをチェックするが、長さの合計をチェックすることはなく、バッファサイズの合計がバッファサイズを超えるのを許してしまっている。攻撃者は非常に長いURLと、非常に長いHTTP Hostヘッダを併用することで、新しいバージョンに対するセキュリティ侵害を行うことができる。最初のレポートで調べの対象としたアップデート前のバージョン3.17も、この攻撃の影響を受ける。

　Green Damの公式ウェブページによれば、依然として脆弱性を持っている最新のバージョン3.17は、すでに42万6138回ダウンロードされており、それ以前の脆弱性のあるバージョンのダウンロード回数が717万2500回であることと併せて考えると、現在の状況では、ウェブマルウェア悪用キットにこの脆弱性を利用する手段が組み込まれると、「ボットネット王国中国」のシナリオを、理論上のものから現実になってしまう可能性がある。