Winampユーザーを狙ったゼロデイ攻撃広まる

メディア再生ソフトのWinampに、深刻な脆弱性が発見された。解決策が存在しない一方で、この脆弱性を狙ったゼロデイ状態の攻撃が広がっているという。

[高橋睦美，ITmedia]

　デジタルメディア再生ソフトの「Winamp」に、深刻な脆弱性が発見された。なお悪いことに、この脆弱性を狙ったゼロデイ状態の攻撃も広がっているという。

　Winampは、スキンファイルを用いて、外観を自分好みにカスタマイズできることが特徴の1つだ。今回の問題は、そのスキンファイル用のビットマップ画像やテキストファイルをZip形式で圧縮した「WSZ」ファイルの処理に適切な制限が加えられておらず、Windows上ではデフォルトで、WSZファイルを自動的に開くようになっていることが原因で、WinAMP 3.x／Winamp 5.xに存在する。この脆弱性を悪用し、仕掛けを施したWSZファイルを送り込むことにより、任意のコードを実行される恐れがある。

　しかもこの脆弱性は、Internet ExplorerのCodebase実行の脆弱性（MS02-015）と組み合わせることによって、さらに深刻な影響を及ぼすという。

　K-OTik Securityが解析したコードの場合、WSZファイル（実際にはWSZファイルを装ったただのZIPファイル）の中に、タグに細工を施したHTMLファイルを参照するよう仕込んだXMLドキュメントを入れておく。もしこのWSZファイルを開いてしまうと、XMLドキュメント経由でHTMLファイルが開かれ、ObjectタグのCodebase属性に記されたコマンドが実行されてしまう。それも「Local computer zone」扱いでだ。

　別のセキュリティ会社であるPivX Solutionsによると、この脆弱性を悪用した攻撃が、少なくとも7月22日以降確認されているという。IRCなどを通じてリンクを送りつけ、コードを仕込んだWebサイトに誘導するという手口だ。「Skinhead」と名付けられたこの攻撃に引っかかると、トロイの木馬やスパイウェアが仕掛けられてしまうという。

　既に攻撃が開始されている（＝ゼロデイ状態での攻撃が始まっている）にもかかわらず、この脆弱性に対するパッチや解決策はまだない。Secuniaでは別の製品を利用することを、またPivX Solutionsでは、マイクロソフトのサポート文書を参考にして、設定を固めることを推奨している。また、OSおよびIEの最新パッチを適用する、不審なリンクをクリックしないといった基本的な対策も、身を守る役に立つだろう。