セキュリティ企業の米シマンテックは2008年4月10日(米国時間)、4月9日に公表されたWindowsの脆弱(ぜいじゃく)性を狙う画像ファイルを確認したとして注意を呼びかけた。同様のファイルが続出する可能性が高いとして、修正パッチ(セキュリティ更新プログラム)をすぐに適用するよう勧めている。
今回確認された画像ファイルは、4月9日に公表された「[MS08-021]GDIの脆弱性により、リモートでコードが実行される (948590)」の脆弱性を悪用しようとする。これは、Windowsに含まれるグラフィックス処理用プログラム「GDI(Graphics Device Interface)」に関する脆弱性。
GDIには、Windowsメタファイル(WMF)および拡張メタファイル(EMF)形式の画像を適切に処理できない問題が見つかった。細工が施されたWMF/EMFファイルを処理しようとすると、バッファーオーバーフローという問題が発生して、ファイルに仕込まれた悪質なプログラムを実行される恐れがある。
実際、この脆弱性を突いて、悪質なプログラム(ウイルス)を実行しようとする画像ファイルが早くも確認された。シマンテックがインターネット上に仕掛けたハニーポット(おとりシステム)で捕獲したという。
捕獲したファイルの名称は「top.jpg」。WMFおよびEMF形式ファイルの拡張子は、通常、それぞれwmfとemfだが、別の画像形式の拡張子(例えば、JPGやBMP、TIFなど)に変更しても、ファイルの内容はGDIに渡される。このため、拡張子がwmf/emf以外の画像ファイルによっても、この脆弱性を悪用される恐れがある。
このtop.jpgも、実体は、細工が施されたWMF(あるいはEMF)形式ファイル。GDIの脆弱性を悪用し、別のプログラム(ウイルス)を生成および実行するように作られていた。
しかしながら同社の情報によれば、このファイルには、脆弱性を悪用するために必要なデータの一部が欠けていたため、ウイルスの生成に失敗するという。攻撃者の意図通りに動作したとすれば、生成されたウイルスは複数のWebサイトにアクセスし、新たなウイルスをダウンロードして実行する。
とはいえ、このファイルを作成した攻撃者の考え方は“正しい”ので、このファイルを“改良”すれば、実際に動作する画像ファイルを作れるという。同社が未検証の環境では、動作する可能性もあるとしている。
また、別の攻撃者によって、新たな攻撃ファイルを作成されるのも時間の問題だとしている。このため同社では、修正パッチを適用していないユーザーに対して、修正パッチを早急に適用するよう呼びかけている。
