SYM07-007
2007 年 5 月 16 日
Symantec Norton Personal Firewall 2004 の ActiveX コントロールにバッファ・オーバーフローの脆弱性

改編履歴
なし

危険性
中

概要
Norton Personal Firewall 2004 および Norton Internet Security 2004 で使用する ActiveX コントロールに、バッファ・オーバーフローの脆弱性が存在します。

影響を受ける製品

影響を受けない製品

解説
シマンテックは CERT から、Norton Personal Firewall で使用する ActiveX コントロールにバッファ・オーバーフローの脆弱性が存在するという報告を受けました。このエラーは、ISAlertDataCOM で使用される Get（）および Set（）関数で発生します。ISAlertDataCOM は ISLALERT.DLL に含まれています。この脆弱性の悪用に成功すると、脆弱なシステム上で、ログインしているユーザの権限によりリモートでコードを実行することが可能になります。

弊社の対応
シマンテックは、本件が Norton Personal Firewall 2004 および Norton Internet Security 2004 のみに影響を及ぼすことを確認しました。この問題に対応するための製品更新版を、LiveUpdate を通じて入手いただけます。

攻撃者がこの脆弱性の悪用に成功するためには、ユーザが特別に細工された HTML 文書を閲覧するように仕向ける必要があります。この種の攻撃を成功させるためによく使われる手法は、悪質なサイトへのリンクを含む電子メールを送信し、受信者にそのリンクをクリックさせようとするものです。

弊社は、本件に起因したお客様からの被害報告、または本件を悪用する試みについての報告は、受けておりません。

通常のベスト・プラクティスの一環として、お使いのコンピュータにインストールしているすべてのオペレーティング・システムおよびアプリケーションに対し、各製品ベンダーから配布されている修正パッチや更新プログラムを適用することで、システムを常に最新の状態にしておくよう心がけてください。影響を受ける製品をご使用のお客様は、この脆弱性を悪用しようとする試みを防止するため、お使いの製品を直ちに更新されることを推奨します。

更新の入手方法
Norton Internet Security 2004 および Norton Personal Firewall 2004 をお使いのお客様が、通常手動で LiveUpdate を実行して製品更新版を入手されている場合には、今回の更新も同様の方法で入手いただけます。以下の手順に従って手動で LiveUpdate を実行してください。

• インストールされている Norton 製品を開きます。
• LiveUpdate をクリックします。
• LiveUpdate を実行します。

入手可能なすべての製品更新版がまだインストールされていない場合には、それらを先に入手していただくことが必要となります。過去の製品更新版を入手するためには、お使いの LiveUpdate の設定を変更して LiveUpdate のアーカイブ・サーバに接続していただくことが必要です。

詳細については、以下の Knowledgebase アーティクルを参照してください。

シマンテック LiveUpdate サーバにアーカイブされた更新プログラムの入手方法
http://service1.symantec.com/SUPPORT/sharedtech.nsf/docid/2007010219171513

入手可能なすべての更新のダウンロードおよびインストールが完了したら、この脆弱性に対応する更新をダウンロードできます。

緩和策
シマンテックは、下記の表に記載したシマンテック製品に対応する IPS シグネチャをリリースしました。これにより、この脆弱性を悪用しようとする試みを検出することができます。

ベスト・プラクティス
通常のベスト・プラクティスの一環として、多重的なセキュリティ対策を講じることを強く推奨します。

• 最小の権限を付与する原則の下で操作を実行します。
• オペレーティング・システムとアプリケーションは、ベンダーが提供する最新の修正プログラムを適用することで、常に最新の状態にしておきます。
• 最新の状態に更新したパーソナル・ファイアウォールおよびウイルス対策アプリケーションを実行し、脅威を複数の場所で検出および防止します。
• 電子メールで添付ファイル、実行形式ファイル、および Web リンクを受信するときは慎重に対応してください。未知の送信者からの電子メールは開封しないでください。
• 電子メール・アドレスは、受信者の知人からのメールであるようになりすますことも容易にできます。疑わしい場合には、添付ファイルを開封したり Web リンクにアクセスする前に、送信者に確認します。

クレジット
本件の報告と解決にあたりご協力いただいた CERT Coordination Center（http://www.cert.org/certcc.html）の Will Dormann 氏に感謝いたします。
本件は、様々なセキュリティ問題の名称が標準化されている Common Vulnerabilities and Exposures（CVE）リスト（http://cve.mitre.org）への登録候補となっています。CVE 推進グループは、本件に対し CVE-2007-1689 という識別番号を付けました。

弊社は、シマンテック製品のセキュリティ面および機能面を重視しています。シマンテックは、Organization for Internet Safety（OISafety）の設立メンバーの一員として、責任ある開示プロセスに従って情報開示を行っています。また、シマンテックは、NIAC（National Infrastructure Advisory Council ：米国の国家インフラ諮問委員会）による脆弱性評価基準ガイドラインに賛同しています。シマンテック製品に関して、セキュリティ上問題であるか、あるいは問題となり得る点を発見した場合は、secure@symantec.com（米国）までご一報ください。シマンテック製品セキュリティ・チームの担当者が、折り返しご連絡させていただきます。

弊社は、シマンテック製品に存在する疑いがある脆弱性への対応プロセスについて概説した、Product Vulnerability Handling Process（製品脆弱性対応プロセス）ドキュメントを作成しました。弊社は、シマンテック製品をお使いのお客様を保護するとともに、インターネットのセキュリティを守るために、あらゆる脆弱性情報の迅速かつ責任ある開示をお約束します。このドキュメントは、下記の場所から入手いただけます。

脆弱性情報を弊社にお寄せになる際には、必ず暗号化された電子メールを使用して secure@symantec.com（米国）まで送信くださるようお願いいたします。SymSecurity PGP キーは、下記の場所から入手いただけます。

Symantec Vulnerability Response Policy (英語)

シマンテック製品脆弱性 レスポンス用 PGP キー