米SANS Instituteは現地時間11月30日,11月9日に公表されたWindowsのセキュリティ・ホールを突く画像ファイルがネット上で公開されているとして注意を呼びかけた。セキュリティ・ホールが存在するWindowsマシンのInternet Explorer(IE)でその画像ファイルを読み込むと,マシンが正常に動作しなくなる。修正パッチを適用していないユーザーは,できるだけ早急に適用したい。
ネット上で公開されているのは,「Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (896424) (MS05-053)」のセキュリティ・ホールを突くWindowsメタファイル(WMF)形式の画像ファイル(関連記事)。正確には,セキュリティ・ホールを突く画像ファイルを作成するプログラムのソースコードが公開されている。ソースコードをコンパイルして実行すれば,セキュリティ・ホールを突く画像ファイルが生成される。
「Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (896424) (MS05-053)」は,Windowsに含まれる画像処理ライブラリGraphical Device Interface(GDI)のセキュリティ・ホール。GDIの実体である「GDI32.DLL」中の,Windows メタファイル(WMF)および拡張メタファイル(EMF)をレンダリングするコードに未チェックのバッファが含まれる。
このため,細工が施されたWMFあるいはEMF形式の画像ファイルを読み込むと,ファイルに仕込まれた任意のプログラムを実行させられる可能性がある。深刻度は,Windows 2000/XP/Server 2003(XP SP2やServer 2003 SP1を含む)のいずれにおいても最悪の「緊急」に設定されている。
ただし,現在ネット上で公開されている画像ファイルは,パッチ未適用のWindowsマシンを一時的に使用不能にするだけのもの。その画像ファイルをIEで読み込むと,CPU使用率が100%になってマシンを操作できなくなる。マシンを再起動すれば元の状態に戻る。
今後,より悪質な画像ファイルが出現する可能性は高い。パッチ未適用のユーザーはすぐに適用しておこう。
◎参考資料
◆DoS Exploit for MS05-053 released(米SANS Institute)
