マイクロソフト セキュリティ アドバイザリ(912840)
マイクロソフト セキュリティ アドバイザリ(912840)
[画像のクリックで拡大表示]

 マイクロソフトは12月29日,Windowsにパッチ未公開のセキュリティ・ホールが見つかったことを明らかにした。細工が施された画像ファイルを開くと,ファイルに仕込まれた悪質なプログラム(ウイルスなど)を勝手に実行させられる。既に,セキュリティ・ホールを突くプログラムがネット上で公開されている。すべてのWindowsが影響を受ける(Windows XP SP2やServer 2003 SP1を含む)。対策は,信頼できないファイルやWebページにアクセスしないことなど。

 今回のセキュリティ・ホールは,画像ファイルを処理するGraphics Rendering Engineに関するもの。細工が施された,Windowsメタファイル(WMF)形式の画像ファイルを読み込むと,ファイルに仕込まれた任意のプログラムを実行させられる恐れがある。2005年11月に公表されたセキュリティ・ホール「Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (896424) (MS05-053)」とよく似ているが別物である(関連記事)。

 細工が施されたファイルが貼られているWebページにアクセスしたり,メールで送られてきたファイルをプレビュしたりするだけで被害を受ける可能性がある。大変危険なセキュリティ・ホールである。セキュリティ・ベンダーや組織によると,セキュリティ・ホールを突く画像ファイルがネット上で多数確認されているという。十分注意が必要だ。

 現時点での対策は,とにかく,信頼できないファイルやWebページにアクセスしないこと。拡張子が.wmfのファイルをゲートウエイなどでフィルタリングすることも回避策となる。ただしSANS Instituteなどの情報によると,Windows XPでは拡張子だけではなくファイルの中身でもWMFかどうかを判別するという。このため別の拡張子であっても,読み込まれた後にWMFとして処理される可能性がある。.wmfのファイルに注意することは大切だが,拡張子だけで判断するのは危険だ。

 マイクロソフトでは,WMFに関連付けられている「Windows画像とFaxビューア(Windows Picture and Fax Viewer)」を無効にすることを回避策として挙げている(具体的な方法はセキュリティ アドバイザリの「回避策」の項を参照のこと)。ただしSecuniaでは,無効にすると他の機能に影響が出る場合があるとして,十分に検証するまでは無効にすることを勧めないとしている。

 Internet Explorer(IE)のセキュリティ設定を高める(「高」にする)ことも影響を緩和する方法の一つ。なお,今回のセキュリティ・ホールはWindowsに関するものなので,IE以外のブラウザでも影響を受ける。メール・ソフトについては,画像を勝手に表示しない(プレビュしない)設定にしておくが重要。

 加えてUS-CERTなどでは,ウイルス対策ソフトの利用を勧めている。アンチウイルス・ベンダーの多くは,今回のセキュリティ・ホールを突く画像ファイルをウイルスの一種として登録している。このため最新のウイルス定義ファイル(パターンファイル)を利用していれば,悪質な画像ファイルを検出・駆除できる可能性がある。もちろん,新たに出現した悪質ファイルは検出できない場合があるので過信は禁物。

◎参考資料
Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある(マイクロソフト)
Microsoft Windows の Windows メタファイルハンドラにバッファオーバフローの脆弱性(JVN)
Microsoft Windows WMF "SETABORTPROC" Arbitrary Code Execution(Secunia)
Microsoft Windows Metafile Handling Buffer Overflow(US-CERT)
Microsoft Windows メタファイル処理の脆弱性に関する注意喚起(JPCERT/CC)
Microsoft 社 Graphics Rendering Engine の脆弱性によりコードが実行される可能性(IPA)
Windows WMF 0-day exploit in the wild(SANS Institute)
Update on Windows WMF 0-day(SANS Institute)