Windows上でオーディオやビデオを処理するマルチメディアエンジン、DirectShowの未修整の脆弱性を狙う攻撃の危険が高まっている。シマンテックが16日、同社の公式ブログで伝えた。
この脆弱性は、DirectShowでQuickTimeを再生する際に使用するQuickTimeパーサーフィルター(quartz.dll)の問題で、細工されたQuickTimeファイルを開くと任意のコードが実行されるおそれがある。影響を受けるのは、Windows XP/2000、およびServer2003。当該コンポーネントを含まないVistaやServer2008には影響しない。
マイクロソフトが5月末に公表したセキュリティアドバイザリでは、脆弱性攻撃は限定的なものとしているが、シマンテックによると、フィッシングと組み合わせてボットをインストールしようとする攻撃が確認されているという。同社によると、通常のフィッシングと同様、フィッシングメールでWindowsLiveの偽ログインページに誘導するが、このページには、攻撃サイトを密かに開くiframeタグが埋め込まれており、細工したAVIファイルを再生して「Trojan.Cipevas」をインストールしようとする。閲覧者がフィッシングに気付いても、脆弱性攻撃が成功すればパソコンが乗っ取られるという仕組みだ。
マイクロソフトでは、修正パッチが用意できるまでの回避策として、DirectShowがQuickTimeを処理しないようにレジストリを変更するツール「Fix it」を提供している。Windows XP/2000を使用している方は、下記「サポート技術資料971778」にある自動修正ツール「Fix it」を使って、攻撃に備えておいていただきたい。
【自動修正ツール「Fix it」の使い方】
このツールは、サポート技術資料971778の後半に書かれている、レジストリの修正を自動的に行う。
「回避策を有効にします」のアイコンで「EnableAdvisory971778.msi」をダウンロードし実行すると、脆弱性のあるコンポーネント「quartz.dll」がレジストリから削除され、以後DirectShowはQuickTimeを処理しないようになる。
「回避策を無効にします」のアイコンでダウンロードされる「DisableAdvisory971778.msi」は、再びQuickTimeを処理するようにコンポーネントをレジストリに登録する。
どちらも表示は英語だが、日本語を含む全ての環境での動作がサポートされている。実行するとライセンスへの同意を求められるので「I Agree(同意する)」のラジオボタンをクリック。「Next(次へ)」ボタンを押すと、レジストリの書き換えが行われる。
ツールは何度実行しても大丈夫なので、記憶があいまいな方は今一度、「EnableAdvisory971778.msi」を実行しておこう。
(2009/06/26 ネットセキュリティニュース)
■シマンテックのブログ[英文]
・DirectShow Exploit In the Wild
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/vulnerabilities_exploits/article-id/198
・DirectShow Exploit In the Wild, Part II - Vulnerabilities & Exploits
https://forums2.symantec.com/t5/blogs/blogarticlepage/blog-id/vulnerabilities_exploits/article-id/199
■セキュリティアドバイザリ (971778) Microsoft DirectShow の脆弱性により、リモートでコードが実行される(マイクロソフト)
http://www.microsoft.com/japan/technet/security/advisory/971778.mspx
■サポート技術資料971778(マイクロソフト)
http://support.microsoft.com/kb/971778