最近のOfficeフォーマットはZIP形式で圧縮されているのでZIPを展開するソフトウェアで指定して展開するとテキストベースの中身が出てくる。中身はマクロや画像などはバイナリのファイルで出てくるがあとは大体テキストベースのXML形式である。実際にこのファイルを再圧縮して拡張子を元の拡張子に直すと普通に開ける。時々、メディアで企業や省庁に文書ファイルによるスピア型攻撃が来ると言っていた時があるが、Officeの文書の内容解析は普通の人でも案外容易なことのように思われる。Office2003までははOLEという形式を使っていて、その時もファイルは一種のアーカイブファイルだったのだがいろいろ不便だったようである。
最近、TIFF形式のフォーマット解析に欠陥があり、リモートで危険が及ぶという警告のニュースが届いたがやってみた感じだとImageMagikにもあった欠陥であるIFDのエントリの数をフル(0xFFFF)にすると+1するので無効な値となってmallocで規定の大きさのメモリが読み込まれIFDの領域がそれ以上に大きいとメモリ破壊を起こすという感じのもので、メモリ破壊のようなことが一応出来たのだがメモリ上で機能するようなコーディングは今のところ自分には難しい。書き込み可能で実行不可となっているデータ領域からメモリリークしてスタックのretを上書きしてデータ領域を実行させたり、読み取り専用の実行領域やDLLなどの外部呼び出しのアドレスまで上書きしてメモリ破壊が検出されないとかは自分では全く考えつかないが出来ると言っているのは何者だろうか。自分は以前言ったのだが、せいぜい、コマンドを羅列してプログラム中の外部プログラムの呼び出しのアドレスをretの帰り先として指定することぐらいしか思いつかない。それで十分かもしれないがOfficeのバージョンが違うとメモリのアドレスが変わっているわけで同じ欠陥があっても同じようには成功しないはずなのでこれを使ってくる人がいる時点でなにか変だと感じることがないわけでもない。
最近は欠陥を見つける職業の人が居て昔より動きが遥かに良くなりセキュリティーが向上しているので欠陥を突くタイプの攻撃は欠陥がそのままにしてあっても無いと言えるぐらいの時代があと十年たつと来そうなのだが、その時にはハッカーが欠陥を突くことが出来た時代を想像できなくなっていそうだと最近思っている。
最近、TIFF形式のフォーマット解析に欠陥があり、リモートで危険が及ぶという警告のニュースが届いたがやってみた感じだとImageMagikにもあった欠陥であるIFDのエントリの数をフル(0xFFFF)にすると+1するので無効な値となってmallocで規定の大きさのメモリが読み込まれIFDの領域がそれ以上に大きいとメモリ破壊を起こすという感じのもので、メモリ破壊のようなことが一応出来たのだがメモリ上で機能するようなコーディングは今のところ自分には難しい。書き込み可能で実行不可となっているデータ領域からメモリリークしてスタックのretを上書きしてデータ領域を実行させたり、読み取り専用の実行領域やDLLなどの外部呼び出しのアドレスまで上書きしてメモリ破壊が検出されないとかは自分では全く考えつかないが出来ると言っているのは何者だろうか。自分は以前言ったのだが、せいぜい、コマンドを羅列してプログラム中の外部プログラムの呼び出しのアドレスをretの帰り先として指定することぐらいしか思いつかない。それで十分かもしれないがOfficeのバージョンが違うとメモリのアドレスが変わっているわけで同じ欠陥があっても同じようには成功しないはずなのでこれを使ってくる人がいる時点でなにか変だと感じることがないわけでもない。
最近は欠陥を見つける職業の人が居て昔より動きが遥かに良くなりセキュリティーが向上しているので欠陥を突くタイプの攻撃は欠陥がそのままにしてあっても無いと言えるぐらいの時代があと十年たつと来そうなのだが、その時にはハッカーが欠陥を突くことが出来た時代を想像できなくなっていそうだと最近思っている。