米SANS Instituteなどは米国時間1月9日,Windowsに新たなセキュリティ・ホールが見つかったとして注意を呼びかけた。細工が施されたWindowsメタファイル(WMF)画像を読み込むと,アプリケーションが不正終了するという。悪質なプログラムを実行させられる可能性があるとの情報もあるが,米Microsoftでは,あくまでも性能の問題(performance issues)であり,そのような心配はないとしている。修正パッチ(更新プログラム)は未公開。
今回見つかったとされるセキュリティ・ホールは,1月5日に修正パッチがリリースされたセキュリティ・ホール「MS06-001」とは別物(関連記事)。いずれも画像ファイルを処理するGraphics Rendering Engine(GRE)に関するものだが,「MS06-001」はGREの「SetAbortProc」関数のセキュリティ・ホール。一方,今回明らかにされたのは「ExtCreateRegion」と「ExtEscape」関数に影響する,2種類のセキュリティ・ホールである。
セキュリティ・ホールの発見者がメーリング・リスト「Bugtraq」に投稿した情報によると,細工が施されたWMF画像を読み込むと,エクスプローラ(explorer.exe)を再起動させられるという。加えてBugtraqでは,画像ファイルに仕込んだ任意のプログラムを実行させられる可能性もあるとしている。
しかしながら,後者の影響についてはMicrosoftは否定している。同社の情報によると,GREを使用するアプリケーションが不正終了する可能性はあるが,任意のプログラムを実行される心配はないとしている。今回のセキュリティ・ホールは性能(パフォーマンス)の問題であり,セキュリティ・ホールを悪用しても任意のプログラムを実行させたり,OSを不正終了させたりすることはできないという。
今回のセキュリティ・ホールは,「MS06-001」のパッチを適用しても修正されない。同社では,今後公開するサービスパックやアップデート(更新プログラム)ロールアップで対応する予定としている。
現時点では,今回明らかにされたセキュリティ・ホールを突くプログラム(Exploit)などは公表されていない。セキュリティ・ホールの発見者は,WMFに関連付けられた「Windows画像とFaxビューア(Windows Picture and Fax Viewer)」を無効にすることを回避策として挙げている。これは,「MS06-001」の回避策と同じ。無効にする具体的な方法は,「MS06-001」のセキュリティ情報に詳しい。
◎参考資料
◆Another WMF attack vector?(SANS Institute)
◆Microsoft Windows Graphics Rendering Engine Multiple Memory Corruption Vulnerabilities(Bugtraq)
◆[UPDATE]Microsoft Windows GRE WMF Format Multiple Unauthorized Memory Access Vulnerabilities(Bugtraq)
◆Information on new WMF Posting(Microsoft Security Response Center Blog!)
◆Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (912919) (MS06-001)
