マカフィーは3月18日,同社のウイルス対策製品すべてが影響を受ける可能性があるセキュリティ・ホールを公表した。細工が施されたファイル(データ)を読み込むと,中に仕込まれた悪質なプログラムを実行させられる恐れがある。ただし,古いスキャンエンジン(バージョン4320)および古いウイルス定義(DAT)ファイル(バージョン4436より前)を使っている場合のみ影響を受ける。同社のウイルス対策製品ユーザーは早急にバージョンを確認し,古い場合には最新のエンジンおよびDATファイルにアップデートする必要がある。
今回のセキュリティ・ホールを発見したのは,米Internet Security Systems。マカフィー製品のスキャンエンジン 4320に含まれる,LHAファイルを処理するモジュールにはバッファ・オーバーフローのセキュリティ・ホールが存在する。このため,細工が施されたLHAファイルをウイルス・チェックのために読み込むと,そのモジュールでバッファ・オーバーフローが発生して,LHAファイルに仕込まれた任意のプログラムを実行させられる。
セキュリティ・ホールは対策ソフトのスキャンエンジンに含まれるため,同社の対策ソフト製品のすべてが影響を受ける可能性がある。例えば,個人向け製品「マカフィー・インターネットセキュリティスイート」「ウイルススキャン」,企業向け製品「VirusScanシリーズ」「GroupShieldシリーズ」「WebShieldシリーズ」――などが影響を受ける可能性がある。
ただし,スキャンエンジンやDATファイルを更新している場合には影響を受けない。具体的には,最新バージョンのスキャンエンジン 4400を使っている場合には影響を受けない。また,スキャンエンジン 4320を使っている場合でも,DATファイルのバージョン4436以降(4436を含む)を使用していれば,スキャンエンジンの設定が変更されるので,今回のセキュリティ・ホールの影響を受けない。
同社の製品の多くでは,スキャンエンジンやDATファイルを自動的に更新する機能を備えているので,ユーザーが意識しなくても,それらが更新されてセキュリティ・ホールを含まない状態になっている可能性は高い。とはいえ,今回見つかったセキュリティ・ホールはとても危険である。同社製品のユーザーは,早急にスキャンエンジンやDATファイルのバージョンを確認したい。そして,もし影響を受けるようなら,すぐにアップデートすべきである。
◎参考資料
◆スキャンエンジンを「4320」(前バージョン)でご使用中のお客様への重要なお知らせ(マカフィー)
◆Vulnerability Announcement for VirusScan Engine 4.3.20(米McAfee)
◆McAfee AntiVirus Library Stack Overflow(米Internet Security Systems)
(勝村 幸博=IT Pro)
