豪AusCERTや米SANS Instituteなどのセキュリティ組織は9月24日,Windowsなどのセキュリティ・ホールを突くJPEGファイルを警告した。公開されているのは,(1)コマンド・プロンプトを表示させるもの(cmd.exeを起動するもの)と(2)管理者権限を持つ新規ユーザーを登録するもの。これらはソース・コードが公開されているので,改変されて,より危険なファイルが作られる可能性がある。修正パッチがきちんと適用されていることを改めて確認したい。
9月15日に公開された「JPEG処理 (GDI+) のバッファオーバーランにより,コードが実行される」を突くJPEGファイルは既に公開されている(関連記事)。ただし,このファイルはWindows XPのシェルを終了させるだけ。今回報告されたJPEGファイルは,より危険である。
(1)と(2)のいずれも,セキュリティ関連のメーリング・リストに投稿され,Webでも公開されている。いずれもソース・コードとして公開されているので,改変することは容易。ソース・コードをコンパイルすると,セキュリティ・ホールを突くようなJPEGファイルが作られる。セキュリティ・ホールがあるWindowsやInternet Explorer(IE)などでこれらのファイルを読む込むと,ファイルに仕込まれたプログラムを実行させられ,被害を受ける。
これらのファイルが侵入する経路として,もっとも可能性が高いのはWebやHTMLメールなので,Windows Updateを実施して,IEのセキュリティ・ホールは確実にふさいでおきたい。もちろん,IEに限らず,影響を受けるソフトウエアすべてにパッチを適用しておく必要がある。
SANS Instituteでは,パッチの適用を強く呼びかけるとともに,IDS「Snort」用のシグネチャや,セキュリティ・ホールが存在するライブラリ「gdiplus.dll」を検索するツールも公開している。
また,SANS Instituteによると,いくつかのウイルス対策ソフトは,既に公開されている悪質なJPEGファイルに対応したという。
今後,さらに危険なファイルが出現する可能性はきわめて高い。きちんと対策をしておこう。以前の記事に書いたように,「セキュリティ・ホールをきちんとふさぐ」「信頼できないファイルは開かない(信頼できないリンクはクリックしない)」――といったセキュリティのセオリーを守っていれば,セキュリティ・ホールを突くファイルがいくら出現しようとも,慌てる必要はない。
◎参考資料
◆AU-2004.0013 -- AusCERT Update - Microsoft MS04-028 - JPEG exploit proof of concept release(AusCERT)
◆MS04-028 PoCs and Exploits released / UPDATE: Snort Rules(SANS Institute)
◆GDI Scan(SANS Institute)
◆JVNTA04-260A Microsoft Windows JPEG コンポーネントにバッファオーバー フロー(JP Vendor Status Notes)
(勝村 幸博=IT Pro)
