PR

 米Internet Security Systems(ISS)は米国時間3月18日,同社のセキュリティ製品「RealSecure」や「BlackICE」,「Proventia」にセキュリティ・ホールが見つかったことを明らかにした。細工が施されたデータを送られると,任意のプログラムを実行させられる恐れがある。このセキュリティ・ホールを突くワームも既に出現している。対策は最新のXPU(X-Press Update)を適用すること。

 今回のセキュリティ・ホールは,サーバー製品だけではなく,「BlackICE PC Protection」や「RealSecure Desktop Protector」といったクライアント製品にも存在するので注意が必要である(影響を受けるバージョンの詳細やXPUの公開状況については,同社ページを参照のこと)。

 今回のセキュリティ・ホールは,同社製品が備える「ISS Protocol Analysis Module」(PAM)コンポーネントのICQインスタント・メッセージング・プロトコル解析ルーチンに見つかった。細工が施されたデータを送信されると,バッファ・オーバーフローが発生し,任意のプログラムを実行される恐れがある。

 実際,このセキュリティ・ホールを突いて感染を広げるワーム「Witty」が出現している。Wittyが送信する攻撃パケットの発信元ポートはUDP4000番である。警察庁では3月20日,Wittyのものと思われるトラフィック増加を確認しているという。なお,アプライアンス製品「Proventia」には今回のセキュリティ・ホールが存在するものの,Wittyには感染しない。

 対策は最新のXPUを適用すること。XPUは攻撃を検知するための定義情報(シグネチャ)だが,今回のセキュリティ・フィックス(パッチ)も含まれている。同社の「Download Center」などから入手できる。

◎参考資料
Vulnerability in ICQ Parsing in ISS Products(米Internet Security Systems)
BlackICE Witty Worm Propagation(米Internet Security Systems)
ISS 製品における ICQ 解析の脆弱点(インターネット セキュリティ システムズ)
BlackICE Wittyワーム(インターネット セキュリティ システムズ)
ISS製品の脆弱性及びWittyワームの発生について(警察庁)
Internet Security Systems PAM ICQ Server Response Processing Vulnerability(米eEye Digital Security)
ISS Multiple Products ICQ Server Response Processing Vulnerability(デンマークSecunia)

(勝村 幸博=IT Pro)