デンマークSecuniaなどは現地時間12月20日,米Symantecのウイルス/スパム対策製品にセキュリティ・ホールが見つかったことを明らかにした。細工が施されたファイルをスキャンすると,ファイルに仕込まれた任意のプログラムを実行させられる恐れがある。「AntiVirus Corporate Edition」や「Norton Internet Security」といったホスト・ベースの製品だけではなく,「AntiVirus Scan Engine」や「Brightmail AntiSpam」などのゲートウエイ製品も影響を受けるという。現時点(12月21日11時)では,Symantecは情報や修正パッチなどを公表していない。
【12月22日追記】Symantecは現地時間12月21日付けで,今回のセキュリティ・ホールに関する情報を公表した。同社の情報では,「AntiVirus Corporate Edition 8.x/9.x」は影響を受けないとしている。修正パッチは未公開。【以上,12月22日追記】
今回のセキュリティ・ホールは,RAR形式の圧縮ファイルを取り扱うライブラリ「Dec2Rar.dll」が原因。Dec2Rar.dllにはバッファ・オーバーフローのセキュリティ・ホールが存在する。このため,細工が施されたRAR形式ファイルを読み込むとバッファ・オーバーフローが発生して,同DLLを含むSymantec製品が稼働するマシン上で任意のプログラムを実行させられる可能性がある。
Dec2Rar.dllは多くのSymantec製品に含まれるので,影響範囲は広い。Secuniaでは以下の製品が影響を受けるとしてリストアップしている。
- AntiVirus Corporate Edition 8.x/9.x/10.x
- AntiVirus for Caching 4.x/Network Attached Storage 4.x/SMTP Gateways 3.x
- AntiVirus Scan Engine 4.x
- AntiVirus/Filtering for Domino 3.x
- Brightmail AntiSpam 4.x/5.x/6.x
- Client Security 1.x/2.x
- Mail Security for Domino 4.x/Exchange 4.x/SMTP 4.x
- Norton AntiVirus 2001/2002/2003/2004/2005
- Norton AntiVirus 5/5.0 for OS/2
- Norton AntiVirus Corporate Edition 7.x
- Norton AntiVirus for Macintosh 9.x/10.x
- Norton AntiVirus for Microsoft Exchange 2.x/3.x
- Norton AntiVirus Solution 7.5
- Norton Internet Security 2001/2002/2003/2003 Professional/2004/2004 Professional/2005
- Norton Internet Security for Macintosh 3.x
- Web Security 2.x/3.x
これら以外にも,Dec2Rar.dllのバージョン3.2.14.3を含むすべての製品が影響を受けるという。
今のところ,Symantecからは今回のセキュリティ・ホールに関する情報は公表されていない。Secuniaでは,ゲートウエイでRAR形式ファイルをフィルタリングすることを現時点での対策として挙げている。該当製品の設定を変更して,RAR形式ファイルはスキャンしないようにすることも回避策となる。
◎参考資料
◆Symantec AntiVirus RAR Archive Decompression Buffer Overflow(Secunia)
◆Symantec AntiVirus RAR Archive Handling Buffer Overflow Vulnerability(FrSIRT)
