マカフィーは28日、Windowsの未修正の脆弱性を悪用する攻撃コードが確認されたと発表。これを受けてマイクロソフトは30日、当該脆弱性に関するアドバイザリを公開した。
新たに見つかった脆弱性は、Windowsのアニメーションカーソル(.ANI)ファイルの処理に起因するもの。カーソル、アニメーションカーソル、アイコンがレンダリングされる前にフォーマットの検証が不十分であるため、メモリ破壊が起きコードが実行されるおそれがある。すでに当該脆弱性を突いてトロイの木馬をダウンロード・実行する攻撃コードが確認されており、細工された.ANIファイルを表示したり、当該ファイルを含むウェブページやHTMLメールを閲覧・プレビューするだけで感染する。
影響を受けるのは、Windows 200/XP/Vista/Server 2003。直接攻撃を受ける可能性があるのは、Internet Explorer(IE) 6/7、およびOutlook ExpressなどのIEのエンジンを使ってHTMLメールを表示するメールソフト。細工された.ANIファイルを含むローカルドライブやネットワークドライブのフォルダを、Windowsエクスプローラを使ってプレビューする場合にも攻撃を受ける。
マイクロソフトによると、Windows Vista上のIE 7を使用している場合には、IE 7の保護モードでウェブベースの攻撃による危険性が低減できるという。メールソフトの場合には、HTMLメールをテキスト形式で表示することにより攻撃を回避できる。根本的な回避策はなく、信頼できないサイトには近づかない、信頼できるメール以外は閲覧・プレビューしない、ウイルス対策ソフトを最新の状態にしておくなどが危険性を低減する。
(2007/03/30 ネットセキュリティニュース)
■Windows アニメーション カーソル処理の脆弱性(マイクロソフトセキュリティアドバイザリ)
http://www.microsoft.com/japan/technet/security/advisory/935423.mspx
■Unpatched Drive-By Exploit Found On The Web[英文](McAfee Avert Labs Blog)
http://www.avertlabs.com/research/blog/?p=230
【ウイルス情報[英文]】
・TROJ_ANICMOO.AX(TrendMicro)
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FANICMOO%2EAX
・Exploit-ANIfile.c(McAfee)
http://vil.nai.com/vil/content/v_141860.htm