PR

 米Symantecは米国時間2月8日,同社のセキュリティ製品「Norton Antivirus 2004」や「Norton Internet Security 2004」などに危険なセキュリティ・ホールが見つかったことを明らかにした日本語情報)。細工が施されたファイルを読み込むと,そのファイルに仕込まれた悪質なプログラムを実行させられる。対策は,セキュリティ・ホールがない製品(例えば,Norton Antivirus 2005やNorton Internet Security 2005)にバージョン・アップすることや,同社が公開するパッチ(hotfix)を適用することなど。

 今回のセキュリティ・ホールは,同社製品に含まれるモジュールの一つ「DEC2EXE」が原因。セキュリティ・ホールを発見したのは米Internet Security Systems(ISS)。DEC2EXEにはバッファ・オーバーフローのセキュリティ・ホールが存在する。DEC2EXEは,UPX(Ultimate Packer for eXecuteables)形式で圧縮されたファイルを展開前に解析するモジュール。このため細工を施したUPXファイルを同社製品に読み込ませれば,DEC2EXECでバッファ・オーバーフローが発生して,任意のプログラムを実行させられることになる。

 DEC2EXEは複数の製品に含まれるので,それらすべてが影響を受けることになる。とはいえ,シマンテックの情報では「DEC2EXEは旧バージョン(の製品)に存在する」とされており,「現在では圧縮ファイルの解析にDEC2EXE エンジンを使用する必要がない」「ISSから連絡を受ける前から,大半のシマンテック製品に実装されているスキャン ・エンジンの更新版において,すでにDEC2EXE エンジンを削除している」「影響を受けるすべてのシマンテック製品のバージョンについて,今後のメンテナンス更新の際に DEC2EXE エンジンを削除していく計画だった」――としている。

 実際,企業向けおよび個人向けともに,新しいバージョンの製品は,今回のセキュリティ・ホールの影響を受けないようだ。ただし,個人向け製品に限らず,企業向け(サーバー向け)製品の中にも影響を受ける製品が多数ある。同社製品のユーザー――特に,システム管理者――は,同社の情報を参照して,現在利用している製品が影響を受けるかどうか確認したい。

◎参考資料
シマンテックの UPX 解析エンジンにヒープ・オーバーフローの脆弱性
Symantec UPX Parsing Engine Heap Overflow
Symantec AntiVirus Library Heap Overflow

(勝村 幸博=IT Pro)