米TrendMicroなどは米国時間2月23日,同社のウイルス対策製品のほとんどすべてが影響を受けるセキュリティ・ホールを公表した。同社製品のウイルス検索エンジン(VSAPI)にバッファ・オーバーフローのセキュリティ・ホールが存在する。このため,細工が施されたファイルをスキャンすると,ファイルに仕込まれた悪質なプログラム(例えばウイルス)を実行させられる恐れがある。
対策は,検索エンジンをVSAPI 7.510にアップデートすること。TrendMicroのサイトからダウンロードできる。同サイトは英語で記述されているが,同サイトのVSAPI 7.510は日本語版製品にもインストールできる。なお,現時点(2月25日午後3時)では,トレンドマイクロは今回のセキュリティ・ホールに関する情報を公開していない。同社に問い合わせたところ,本日(2月25日)中に日本語情報とVSAPI 7.510の日本語ページを用意するという。
【2月28日追記】トレンドマイクロは2月25日付けで日本語情報を公開した。【以上,2月28日追記】
ウイルス検索エンジンにセキュリティ・ホール
今回のセキュリティ・ホールは,同社のサーバー/クライアント製品やゲートウエイ製品のほとんどすべてが影響を受ける。具体的には,ウイルスバスター インターネットセキュリティ(英語名はPC-cillin Internet Security)やInterScanシリーズ,ServerProtectシリーズなどが影響を受ける。今回のセキュリティ・ホールが同社製品の(ウイルス)検索エンジンに存在するためだ。
TrendMicroなどの情報によると,同社の検索エンジンには,ARJ形式の圧縮ファイルを処理する部分にバッファ・オーバーフローのセキュリティ・ホールが存在するという。このため,細工を施したARJファイルを同社製品がスキャンすると,その時点でファイルに仕込まれた悪質なプログラムを実行させられる恐れがある。細工が施されたファイルは,メールなどに添付されて送られてくる可能性がある。
対策は,セキュリティ・ホールを修正した検索エンジンにアップデートすること。なお,同社製品には検索エンジンやパターンファイルを自動的に更新する機能があるが,現時点ではVSAPI 7.510に自動更新されないという。VSAPI 7.510は,3月3日に自動更新用サーバーに置かれる予定なので,それ以降になる。3月3日までは,ユーザーがダウンロードしてインストールする必要がある。
ARJ形式ファイルをチェックしないように設定することも回避策にはなるが,ARJ形式ファイル中のウイルス・チェックも当然できなくなるので危険である。検索エンジンのアップデートで対処したい。
◎参考資料
◆Vulnerability in VSAPI ARJ parsing could allow Remote Code execution
◆Trend Micro AntiVirus Library Heap Overflow
◆Trend Micro VSAPI ARJ Handling Heap Overflow Vulnerability
◆Scan Engine Updates
◆検索エンジン リリースノート
(勝村 幸博=IT Pro)
