中国のセキュリティ・グループ「Xfocus Team」のflashsky fangxing氏は、Windowsに複数の脆弱性が存在し、最悪の場合、任意のコードが実行される危険性があることを報告した。同氏によれば、Windowsに「LoadImage
APIのバッファ・オーバーフロー」「ANI(Windows Animated Cursor)ファイルの処理」「winhlp32.exeのバッファ・オーバーフロー」の3種類の脆弱性が存在する。
■LoadImage APIのバッファ・オーバーフローの脆弱性
User32.dllのLoadImage APIにバッファ・オーバーフローの脆弱性が存在する。細工されたビットマップやアイコンなどの画像ファイル(.bmp/.cur/.ico/.ani)を開くと、ファイルに仕込まれた任意のコードが実行される危険性がある。これらの画像が貼られたWebページをInternet
Explorerで開くだけで攻撃が実行される。脆弱性の対象は、Windows NT 4.0、Windows 2000、Windows XP SP未適用/SP1/SP1a、Windows
Server 2003で、Windows XP SP2は対象外となっている。
・Bugtraq(Microsoft Windows LoadImage API Integer Buffer overflow):
http://www.securityfocus.com/archive/1/385342
■ANIファイルの処理の脆弱性
WindowsカーネルがWindowsのアニメーション・カーソルの形状を定義するANIファイルを処理する方法に脆弱性が存在する。細工されたANIファイルを開くと、Windowsがハングアップする。Webページに貼られたANIファイルを開くだけで攻撃が実行される。脆弱性の対象は、Windows
NT 4.0、Windows 2000、Windows XP SP未適用/SP1/SP1a、Windows Server 2003で、Windows XP
SP2は対象外となっている。
・Bugtraq(Microsoft Windows Kernel ANI File Parsing Crash and DOS Vulnerability):
http://www.securityfocus.com/archive/1/385340
■winhlp32.exeのバッファ・オーバーフローの脆弱性
winhlp32.exeが.hlpファイルのヘッダを処理する方法にバッファ・オーバーフローの脆弱性が存在する。細工された.hlpファイルを開くとデコードのエラーが引き起こされ、任意のコードが実行される危険性がある。Webページに貼られた.hlpファイルへのリンクをクリックし、ファイルを開くと攻撃が実行される。脆弱性の対象は、Windows
NT 4.0、Windows 2000、Windows XP、Windows Server 2003で、Windows XP SP2も対象である。
・Bugtraq(Microsoft Windows winhlp32.exe Heap Overflow Vulnerability):
http://www.securityfocus.com/archive/1/385332
■実証コードについて
Xfocus Teamは、この3種類の脆弱性を検証するための実証コードをすでに公開している。DA Labで、Windows 2000 SP4+IE 6 SP1で実証コードを確認したところ、「ANIファイルの処理の脆弱性」ではWindowsが完全にハングアップしてしまった。そのほかの2つの脆弱性については、実証コードがうまく機能しなかった(環境依存の可能性がある)。
・Xfocus Team(実証コード):
http://www.xfocus.net/flashsky/icoExp/index.html
現在のところ、これらの脆弱性に関するマイクロソフトから報告や修正プログラムの提供はない。今回報告された脆弱性は、ウイルスやワームに悪用されやすいものと思われる。年末年始休暇明けに、脆弱性を悪用したワームが大量発生することが懸念される。コンピュータを起動後、すぐにウイルス対策ソフトウェアのパターンファイルの更新を行い、それから電子メールの受信などのインターネットへのアクセスを行うように徹底した方がよい。また、Webブラウザを利用したネットワーク上のファイル・アクセスや、メールの添付ファイルの参照にも注意が必要である。
|