Symantec Security Response Weblog


Is That a Hole in Your Kernel or Are You Just Pleased to See Me?」より
August 14,2007 Posted by Ollie Whitehouse

 2007年3月にシマンテックが発行した「Internet Security Threat Report」の「Future Watch」セクションと,Windows Vistaに関する調査報告において,「サードパーティ製ドライバに対する攻撃が大幅に増えており,この傾向はしばらく続く」と述べた。さらに「これらのドライバが,64ビット版Windows Vistaのドライバ署名,PatchGuard,カーネル整合性検証といった技術に,これまでよりも大きな脅威を与える」と記した。8月7日付けのブログ記事では,その具体的な例として,カナダのATIテクノロジーズのドライバと,同ドライバが米マイクロソフトに与える問題,さらにその前のブログ記事では,あえて署名のないカーネル・ドライバのロードを許可するよう開発されたサードパーティ製ドライバについても以前に触れた。

 これらの例の前にも同様の例があった。今ここでこの例をあえて取り上げる理由は,サードパーティによって署名がなされた一般的なオープンソース・ドライバが,オープンソースの専門的なコミュニティでかなり普及しているからだ。そのドライバとは,WireSharkなどのツールで使用されるパケット・キャプチャ・ドライバWinPCapである。このドライバには,カーネル・メモリーへの自由な書き込みを許可する不具合(セキュリティ・ホール)が存在する。

 WinPCapの変更履歴を見ると,次のような記述がある。

バージョン4.0,2007年1月29日
WinPcapの配布用バイナリのすべてにデジタル署名することで,64ビット版Windows Vistaに対応

6カ月後には,以下の内容が追記されている。

バージョン4.0.1,2007年7月3日
バグ修正:BIOCGSTATS IOCTLのディスパッチャで,ユーザー・レベルから無効なパラメータが渡された際にBSODを発生させるバグを修正。米ベリサインのiDefense Labsから報告されたセキュリティ・ホールに対応した修正

 簡単にまとめると,特定のハードウエアに依存しない汎用ドライバが存在し,こうしたドライバが一部ハードウエアOEMの消費者向け製品で古いWindows用として同梱されたり,専門的なコミュニティで比較的広く使われたりしている。このドライバは64ビット版Window Vistaに対応しており,署名が付いていて,カーネル・メモリーを自由に変更可能なセキュリティ・ホールがあった。つまり,マイクロソフトが今後対処を検討しなければならない別の事例ということだ。

 インターネットを利用する人々はこの点に注意し,アップグレードを行ってほしい。今回取り上げた製品を既にインストールしている人々は,マイクロソフトがWindows Updateで手を打ってくれることを期待しよう。



Copyrights (C) 2007 Symantec Corporation. All rights reserved.
本記事の内容執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。

◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,Is That a Hole in Your Kernel or Are You Just Pleased to See Me?でお読みいただけます。