米Symantecは米国時間4月27日,同社のウイルス対策製品「Norton AntiVirus」や「Symantec Mail Security for SMTP」などにセキュリティ・ホールが見つかったことを公表した(日本語情報)。RAR形式で圧縮されたファイルを検査しない場合があるので,圧縮ファイルに含まれるウイルスを見過ごす可能性がある。Windows版だけが影響を受ける。
対策は,該当コンポーネントをアップグレードすること。個人向け製品は「LiveUpdate」を実施すれば自動的にアップグレードされる。企業向け製品については,「My Symantec」サイトから修正版をダウンロードできる。
今回のセキュリティ・ホールが確認されている製品は以下のとおり。
- Web Security(ビルド 3.0.1.72)
- Mail Security for SMTP(ビルド 4.0.5.66)
- AntiVirus Scan Engine(ビルド 4.3.7.27)
- SAV/Filter for Domino NT(英語版のみ,ビルド 3.1.1.87)
- Mail Security for Exchange(英語版のみ,ビルド 4.5.4.743)
- Norton AntiVirus 2005(ビルド 11.0.0)
- Norton Internet Security 2005(上記 AntiVirusを含むもの)
- Norton System Works 2005(上記 AntiVirusを含むもの)
今回のセキュリティ・ホールは,圧縮ファイル中にウイルスが含まれているかどうかを検査するコンポーネントに存在する。このため,あるタイプのRAR圧縮ファイルについては,きちんと中身を検査できない。つまり,たとえウイルスが含まれている場合でも検出/駆除することができない。
ただし,検査できないのは圧縮された状態のファイルだけ。リアルタイムでウイルスを検出できる「RealTime Virus Scan / Auto-Protect」を有効にしている環境(デフォルトは有効)では,ファイルを展開したときにウイルスを検出できる。このため,クライアントでは影響は少ない。
問題は,ゲートウエイだけでウイルスをチェックしている場合である。ゲートウエイでは,ウイルスを含むRARファイルがすり抜ける可能性がある。同社のゲートウエイ製品の管理者は注意したい。
◎参考資料
◆Symantec AntiVirus RAR archive bypass
◆Symantec AntiVirus に RAR アーカイブをバイパスする脆弱性
(勝村 幸博=IT Pro)