トレンドマイクロは6月8日,同社の「ウイルスバスター2004 インターネット セキュリティ」に不具合が見つかったことを明らかにした。細工が施された圧縮ファイルをウイルスバスター2004が稼働するパソコンにコピーすると,任意の文字列などを「ウイルス検出ダイアログ」に表示させられる可能性がある。ただし同社によると,任意のコードを実行させられる恐れはないという。「プログラムバージョン11.31」にアップデートすれば,この不具合は修正できる。プログラムバージョン11.31の提供は6月9日から。
ウイルスバスター2004には,ウイルスを検出した際に,そのウイルス名やウイルスに感染しているファイル名を「ウイルス検出ダイアログ」を使って表示する機能がある。「ウイルス検出ダイアログ」の実体はウイルスバスターが生成するHTMLファイルであり,Internet Explorer(IE)のモジュールを使って表示される。
今回,この部分に不具合が見つかった。ウイルスバスター2004では,ウイルス感染ファイルのファイル名を,そのままウイルス検出ダイアログのHTMLファイルに含めてしまう。このため,感染ファイル名にHTMLタグなどを含めている場合には,そのままウイルス検出ダイアログに渡されて,ユーザーのマシン上で解釈されることになる。しかも,最も制限が緩い「ローカル コンピュータ ゾーン(マイ コンピュータ ゾーン)」のセキュリティ設定で解釈されることになる。
とはいえ,ウイルス感染ファイルが単独のファイルの場合には,ファイル名にHTMLタグを含めることはできないので問題はない。問題は,ZIPファイルなどの圧縮ファイル中のウイルスを検出する場合である。例えばZIPファイルに,ウイルスとして検出されるコードを入れておき,圧縮されているファイル名を示す部分にHTMLタグなどを含む文字列を仕込んでおく。
するとウイルスバスター2004は,HTMLタグなどを含む文字列を,圧縮されているウイルス感染ファイルの名前だと認識して,ウイルス検出ダイアログのHTMLファイル中に含める。そのファイルを渡されたIEのコンポーネントは,ユーザー・マシン上でHTMLタグを解釈してしまう。写真は,この不具合の発見者である「http-equiv」が公開するデモ。ファイル名を「<img>.com」にした例である。
今回の不具合は,「http-equiv」により,米国時間6月3日にセキュリティ関連のメーリング・リストなどに投稿された。投稿では,米Trend Microが販売している「Trend Micro PC-cillin」を対象としているが,PC-cillinの“中身”は基本的にはウイルスバスターと同じである。
http-equivなどの情報には,今回の不具合を使えば,圧縮ファイルに含めた任意のスクリプトを実行させることもできるとの記述がある。しかし,トレンドマイクロはこれを否定する。ウイルス検出ダイアログに任意の文字列やリンクなどを含めることは可能であるが,任意のスクリプトを実行させることはできないという。
とはいえ,セキュリティ上の問題が全くないわけではない。例えば,ウイルス検出ダイアログから悪質なWebサイトへ誘導させられる恐れなどはあるという。
不具合を修正するには,プログラムバージョン11.31にアップグレードする必要がある。パターンファイルなどを自動的に更新する「インテリジェントアップデート」を有効にしていれば(デフォルトは有効),プログラムバージョン11.31が公開され次第,自動的にアップグレードされる。アップグレードの際には,再起動を促すダイアログが表示される場合があるという。
◎参考資料
◆ウイルス検出ダイアログに正しく表示されない可能性がある問題の修正(トレンドマイクロ)
◆TREND MICRO: The Protector Becomes The Vector(NTBugtraq)
◆Trend Micro PC-cillin Internet Security May Let Remote Users Execute Scripts in the Local Computer Zone(SecurityTracker Advisory)
◆@RISK: The Consensus Security Vulnerability Alert June 7, 2004 Vol. 3. Week 22(SANS Institute)
(勝村 幸博=IT Pro)
