トレンドマイクロは、同社のウイルス検索エンジンと、ルートキット対策モジュールに脆弱性があることを明らかにした。また、JPCERTコーディネーションセンター(JPCERT/CC)は9日、ボット対策のポータルサイト「サイバークリーンセンター」で配布した「CCCクリーナー」が、上記ウイルス検索エンジンの脆弱性の影響を受けると発表した。
トレンドマイクロが6日に公開し、9日に更新したアドバイザリによると、同社のウイルス検索エンジンVSAPI 8.0以降では、破損したUPX圧縮形式のファイルを検索するとバッファオーバーフローが発生する。このため、細工されたファイルを送りつけられると、任意のコードを実行されたり、DoS攻撃を受ける、あるいは、ブルースクリーンや例外エラーが発生する恐れがある。エンジンVSAPI 8.0以降を使用する同社製品すべてに影響があるが、5日から配信されているウイルスパターンファイル4.245.00を適用すると、この脆弱性を回避できる。同社ではこの脆弱性の危険度を「高」としている。
さらに、同社が11日に公開したアドバイザリによると、同社のルートキット対策モジュール (TmComm.sys)には、攻撃者が任意のメモリを書き換えたり、任意のコードを実行できる脆弱性がある。この脆弱性はセキュリティ許可を悪用するもので、ウイルスバスター2007のバージョン15.xが影響を受ける。本脆弱性に対応したルートキット対策モジュール(バージョン番号1.6.0.1052) がすでに公開されており、同社では該当する製品を使用している場合はコンポーネントをアップデートするよう呼びかけている。同社は、この脆弱性の危険度を「中」としている。
また、JPCERTコーディネーションセンター (JPCERT/CC)は9日、サイバークリーンセンターで配布しているボット駆除ツール、CCCクリーナーについて、1月25日から今月9日までの間に配布されたバージョン(ファイル名:lpt$vpn.185)が、上記ウイルス検索エンジンの脆弱性の影響を受けると発表した。同センターでは、ツールのバージョンを確認し、該当する場合は削除するよう呼びかけている。9日19時32分以降に配布しているCCCパターンVer:253以降では、今回の問題が修正されている。
(2007/02/13 ネットセキュリティニュース)
■トレンドマイクロのアラート/アドバイザリ
・ウイルス検索エンジン VSAPI 8.0以降におけるUPX 圧縮ファイル検索処理時のバッファオーバーフローの脆弱性について
http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2061390&id=JP-2061390
・ルートキット対策モジュール (TmComm.sys) における脆弱性について
http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2061405&id=JP-2061405
■JVNVU#276432 Trend Micro AntiVirus が細工された UPX 圧縮実行ファイルを適切に処理できない脆弱性(JVN)
http://jvn.jp/cert/JVNVU%23276432/
■サイバークリーンセンターにおいて提供された「CCCクリーナー」の脆弱性についてのお知らせ[PDF](JPCERTコーディネーションセンター)
http://www.jpcert.or.jp/pr/2007/pr070002.pdf
■サイバークリーンセンター
https://www.ccc.go.jp/index.html
【関連記事:ネットセキュリティニュース】
・[ボット対策]~ 総務省と経産省、ボット対策情報発信のポータルサイト開設(2006/12/15)