Symantec、企業向けウイルス対策製品にゼロデイの脆弱性警告

[鈴木聖子，ITmedia]

　米セキュリティ機関のUS-CERTは8月4日、米Symantecの企業向けウイルス対策ソフト「Symantec Endpoint Protection」（SEP）の権限昇格の脆弱性に関するセキュリティ情報を出して、ユーザーや管理者に対応を呼び掛けた。

　US-CERTやSymantecのセキュリティ情報によると、脆弱性はSEPクライアント11.x／12.xの「Application and Device Control」コンポーネントに存在する。権限を持たないユーザーとしてWindows XP／Vista／7／8にログオンした攻撃者が、細工を施したIOCTLコードを使って同コンポーネントのsysplantドライバでカーネルプールオーバーフローを誘発させることが可能だという。

　この問題を悪用された場合、クライアントがクラッシュしたり、サービス妨害（DoS）状態に陥ったり、管理者権限を取得されてコンピュータを制御されたりする恐れがある。

　SEPのApplication and Device Controlはデフォルトで有効になっていて、sysplantドライバが読み込まれている。このドライバを無効にすれば攻撃は回避できるとされ、Symantecのサイトでその方法を紹介している。

　この問題は7月29日に報告され、エクスプロイトが公開されていたという。Symantecは8月4日に「Symantec Endpoint Protection 12.1 Release Update 4 Maintenance Patch 1b（RU4 MP1b）」の英語版をリリースして脆弱性に対処した。

　他の言語向けのパッチは準備ができ次第リリースする予定としており、パッチを適用するまでの間は回避策を適用するよう促している。現時点でこの脆弱性を突く攻撃や、顧客への悪影響は確認されていないという。