セキュリティ組織である米SANS Instituteは米国時間10月20日,10月13日に公開されたWindowsのセキュリティ・ホールを突くコード(ファイル/プログラム)が出回っていることを警告した。「MS04-032」で公開された「Graphics Rendering Engine の脆弱性」と「MS04-030」で公開された「WebDAV の脆弱性」を突くコードがそれぞれ確認されているという。
「MS04-032」で公開された「Graphics Rendering Engine の脆弱性」とは,Windowsに含まれる画像処理エンジン(プログラム)に見つかったセキュリティ・ホールである。細工が施されたWindows メタファイル(WMF)や拡張メタファイル(EMF)形式の画像を読み込むだけで,任意のプログラム(例えばウイルス)を実行させられる可能性がある(関連記事)。
SANS Instituteによると,このセキュリティ・ホールを突く画像ファイルが実際に出現しているという。そのファイルをセキュリティ・ホールがあるWindows XPで開くと,リモート・シェルが起動され,特定のURLから接続可能になる。そのURLからは,そのファイルを開いたユーザーの権限で,そのパソコンをリモートから操作できてしまう。
なお,いくつかのアンチウイルス・ベンダーは対応済み。最新のウイルス定義ファイルを使っていれば,セキュリティ・ホールを突く画像ファイルをウイルスの一種として検出するという。
加えて,「MS04-030」で公開された「WebDAV の脆弱性」を突くPerlスクリプトも公開されている。「WebDAV の脆弱性」はWindows 2000/XP/Server 2003に見つかったセキュリティ・ホール。ただし,WebDAV を実行しているInternet Information Services(IIS)サーバー・マシンだけが影響を受ける。このセキュリティ・ホールを突くようなWebDAVリクエストを送信されると,IISサーバーのサービスを停止させられる。
SANS Instituteでは,そのPerlスクリプトを検証中であるという。また,そのPerlスクリプトを使った攻撃(アクセス)をWebサーバーのログから調べるためのシグネチャを公開している。
◎参考資料
◆Browser Vulnerabilities (all browsers), MS04-030 and -032 POC exploit released
(勝村 幸博=IT Pro)
