SYM04-009
2004年5月20日
Symantec Norton AntiVirus 2004 に ActiveX コントロールの脆弱性
改編履歴
なし
危険性
中
概要
ラック社 から、Symantec Norton AntiVirus 2004 で使用されている Active X コントロールにセキュリティ上の問題を発見したとの報告がありました。この問題が悪用された場合、ローカルシステム上に存在するコードがログオン中のユーザの特権を使ってリモートから実行されたり、不正なポップアップが起動されたり、標的のシステム上で稼動している Symantec Norton AntiVirus アプリケーションに対し、サービス拒否 (DoS) 攻撃が仕掛けられたりするおそれがあります。
影響を受けるコンポーネント
Symantec Norton AntiVirus 2004
解説
ラック社から、Symantec Norton AntiVirus 2004 で使用されている ActiveX コントロールに脆弱性が存在するとの報告を受けました。同社によると、Active
X コントロールが外部入力を正しく確認/認証しないとのことです。このコントロールが悪意を持った人物によって悪用された場合、攻撃者が選んだ実行形式ファイルが標的のユーザの特権を使って起動される可能性があります。また、この脆弱性は、攻撃者がシステム上で不正なURL
(ポップアップ) を起動したり、サービス拒否 (DoS) の状況を作り出すことで Symantec Norton AntiVirus アプリケーションをフリーズさせたりする目的で使用されるおそれがあります。
攻撃者がこの脆弱性を利用して実行形式ファイルを起動するためには、そのプログラムがローカルシステム上にすでに存在し、かつ、そのプログラムの場所を攻撃者が把握しておくことが必要条件となります。この理由により、この種の攻撃の影響を受けるリスクは制限されています。また、この種の攻撃に共通の必要条件として、攻撃者は、標的のユーザを誘導して有害なスクリプトが起動される場所を訪問させるか、あるいは、標的のシステムに有害なスクリプトをダウンロードし、起動するように仕向ける必要があります。
シマンテックの対応
弊社は、検証の結果、ラック社から報告された上記の脆弱性が Symantec Norton AntiVirus 2004 に存在することを確認し、この脆弱性に対応する修正パッチを開発し、リリースしました。本件の影響を受ける製品用の修正パッチはすべて、Symantec LiveUpdate を通じて入手いただけます。
Symantec LiveUpdate を定期的に実行していれば、本件にはすでに対応済みのはずですが、念のため、次の手順に従って、Symantec LiveUpdate
を手動で実行することで、現在利用可能なすべての更新がインストールされていることを確認してください。
- インストール済みのシマンテック製品を開きます。
- ツールバー内の LiveUpdate をクリックします。
- 利用可能なシマンテック製品向け更新ファイルがすべてダウンロードされ、インストールされるまで、LiveUpdate を実行します。
上述の問題を実際に悪用した攻撃の試みに関する情報や、この問題に起因した弊社製品ユーザからの被害報告は受けておりません。
日常的なベスト・プラクティスとして、シマンテックは、多層的なセキュリティ対策の実施を推奨しています。
最低限でも、パーソナル・ファイアウォールおよびウイルス対策アプリケーションの両方を実行し、かつ、それらを常に最新の状態に維持するよう努めてください。これにより、ネットワークの外部から侵入する脅威だけでなく、内部から侵入する脅威の両方を、複数の侵入ポイントで検知・阻止することが可能となります。
お使いのコンピュータにインストールしているオペレーティングシステムならびにアプリケーションすべてに対し、各製品ベンダーから配布されている修正パッチや更新プログラムを適用することで、システムを常に最新の状態にしておくよう心がけてください。
メールで届く不審な添付ファイルや実行形式ファイルには用心してください。また、未知あるいは信頼できない Web サイトを訪問したり、出所が不明な URL
リンクを開いたりする際には十分な注意を払ってください。
知らない人または組織から届いたメールや、要請していないのに一方的に届いたメールの添付ファイル、あるいは、内容が不確かな実行形式ファイルは絶対に開封しないでください。このようなファイルには常に十分過ぎるくらいの注意が必要です。添付ファイルの差出人を知っている場合でも、そのアドレスは別人によって詐称されている可能性があります。
不審な添付ファイルが届いた場合は、開封する前に差出人に連絡して本当にその人が送信したものかどうかを確認し、それでも不審な点がある場合は、開封せずに削除してください。
CVE
本件に対する CVE(Common Vulnerabilities and Exposures)リスト登録候補の識別番号は、現在申請中です。識別番号は入手次第、このページでお知らせする予定です。
本件は、様々なセキュリティ問題の名称が標準化されている CVE リスト(http://cve.mitre.org)への登録候補となっています。
クレジット
本件に関する技術的な問題点の特定と情報提供にご協力くださった 株式会社ラック コンピュータセキュリティ研究所の新井 悠氏に深く感謝いたします。
シマンテック製品のセキュリティに関する情報の連絡先
弊社は、シマンテック製品のセキュリティ面および機能面を重視しています。シマンテックは、Organization
for Internet Safety (OIS) の設立メンバーの一員として、責任ある開示プロセスに従って情報開示を行っています。また、シマンテックは、NIAC
(National Infrastructure Advisory Council: 米国の国家インフラ諮問委員会) による脆弱性評価基準ガイドラインに賛同しています。シマンテック製品に関して、セキュリティ上、問題であるか、あるいは、問題となり得る点を発見した場合は、secure@symantec.com
(米国) までご一報ください。
脆弱性情報を弊社にお寄せになる際には、必ず暗号化された電子メールを使用して secure@symantec.com
(米国) まで送信くださるようお願いいたします。SymSecurity PGP キーは、こちらから入手いただけます。
Copyright (c) 2004 by Symantec Corp.
このアドバイザリーの電子媒体による配信は、Symantec Security Response の許可なく改ざんを行わない場合に限り認められています。このアドバイザリーの一部または全部を電子媒体以外の媒体へ複製または印刷する場合は必ず事前にシマンテックの許可を受ける必要があります。
免責事項
このアドバイザリーは、発行時点で確認されていた情報を基に正確であると判断された情報で構成されています。記載情報の使用は、現状のまま使用することを条件に認められています。本書の記載内容について弊社は一切保証いたしておりません。本書の使用あるいは信頼性に関連して生じる直接的、間接的、派生的な損失または損害に関して、本書の著者も発行者も一切責任を負いません。
Symantec、Symantec Security Response、Sym Security、およびシマンテックの各製品名は、Symantec Corp.
およびその関連会社の米国および各国における登録商標です。その他の商品名・会社名等はすべて各社の商標または登録商標です。
米国サイト最終更新日: 2004年5月20日(木) 15:34:54
|
ストアへ
企業・法人向け