英Sophosは現地時間5月8日,同社のウイルス対策ソフト製品にセキュリティ・ホールが見つかったことを明らかにした。細工が施されたCAB(Microsoft Cabinet)ファイルをスキャンするとメモリー破壊が発生し,ファイルに仕込まれた悪質なプログラムを実行される恐れがある。対策はセキュリティ・ホールを修正したバージョンにアップグレードすること。
今回のセキュリティ・ホールの影響を受けるのは以下の製品。影響を受ける製品のバージョンやプラットフォームなどについては,Sophosが公開するリスト(マトリクス)を参照してほしい。
・Sophos Anti-Virus 3.x/4.x/5.x
・Sophos Anti-Virus Small Business Edition
・Sophos MailMonitor
・Sophos PureMessage
今回のセキュリティ・ホールは,CABファイルを適切に展開(解凍)できない場合があることが原因。細工が施されたCABファイルを展開しようとするとメモリー破壊が発生し,ファイルに仕込まれた任意のプログラムが実行されてしまう。その結果,対策ソフトが稼働するマシンを事実上乗っ取られる恐れがある。
細工が施されたCABファイルを添付したメールを送られるだけで攻撃が“成立”する可能性があるので,同社製品のユーザーは注意が必要である。セキュリティ・ベンダーのデンマークSecuniaでは,今回のセキュリティ・ホールの危険度(Critical)を,5段階評価で2番目に危険とされる「Highly critical」に設定している。
ただし,CABファイルをウイルス・チェックの対象としていない場合には,セキュリティ・ホールが存在する製品を利用していても被害に遭うことはない。セキュリティ組織の米SANS Instituteでは,ゲートウエイ製品であるMailMonitorやPureMessageではCABファイルをチェック対象としている可能性が高いので,これらの製品の管理者は特に注意するよう呼びかけている。
対策は製品のアップグレード。Sophosではセキュリティ・ホールを修正した最新版を,4月28日および5月5日(現地時間)にリリースしている。例えば,デスクトップ製品の「Sophos Anti-Virus for Windows 2000/XP/2003 v 5」については,セキュリティ・ホールを修正したバージョン5.2.1を現地時間5月5日にリリースしている。
◎参考資料
◆Crafted Microsoft CAB file can allow arbitrary code to be run(英Sophos)
◆Sophos Anti-Virus Cabinet File Processing Memory Corruption(デンマークSecunia)
◆Critical vulnerability in Sophos Anti-Virus products(米SANS Institute)
