中国の検閲ソフトに深刻な脆弱性

中国が導入義務化の検閲ソフト、早々に深刻な脆弱性が発見

中国政府が来月から国内で販売される全てのPCに導入を
義務付けることを決定した検閲ソフト（フィルタリングソフト）「緑・花季護航（Green Dam Youth Escort）」に
バッファオーバーランの脆弱性があることが11日、ミシガン大学の研究者が発表した資料により明らかとなった。

ミシガン大学によると「緑・花季護航」はウエブサイトのイメージ、テキスト、URLの文字情報を監視し
ブラックリストと照合することで不適切なサイトのフィルタリングを実施していることが判ったとした上で
URLは固定長で処理を行っているため、特殊なURLを使えば簡単にバッファオーバーランを起こすことが可能で
コンピューターの乗っ取りを行うことができるだろうと述べている。

ミシガン大学では結論として「『緑・花季護航』は安全ではない、時代遅れのプログラム手法に起因する多くの
脆弱性を抱えている可能性が高く、修正は容易ではないだろう」とした上で
「『緑・花季護航』は直ぐにアンインストールした方がよい」と推奨している。

ミシガン大学ではまた、「緑・花季護航」で使用されているブラックリストは
米国製のフィルタリングソフトからコピーしたものであることも判ったとも述べている。
http://www.technobahn.com/cgi-bin/news/read2?f=200906151329