シマンテックのウイルス解析エンジン旧版に脆弱性、広範な製品に影響

シマンテックのウイルススキャンエンジンの旧バージョンに、ヒープオーバーフローの脆弱性が存在することが明らかになった。

[ITmedia]

　シマンテックは2月8日、同社のウイルス対策製品に含まれているウイルススキャンエンジンの旧バージョンに、ヒープオーバーフローの脆弱性が存在することを明らかにした。

　この脆弱性は、シマンテックのウイルススキャンエンジンのうち、圧縮ファイルの解析を行うDEC2EXE解析エンジンの旧バージョンに存在する。細工を施したUPXファイルを通じて悪用されれば、システムが侵害され、リモートから任意のコードを実行される恐れもある。

　問題を指摘した米Internet Security SystemsのX-Forceによれば、SMTPやHTTP、FTPといった一般的なプロトコルを通じて攻撃を受ける可能性があるといい、シマンテックでは脆弱性の深刻さを「高」としている。

　脆弱性が存在する製品には、「Norton Antivirus 2004 for Windows／Macintosh」「Norton Internet Security 2004 for Windows／Macintosh」「Norton System Works 2004 for Windows／Macintosh」「Norton Antivirus 9.0 for Macintosh」といった個人向けの製品のほか、「Symantec AntiVirus Corporate Edition 8.01／8.1.1／9.0（ビルド 9.01.1000以前）」や「Symantec Client Security 1.0／2.0」など企業向けの製品も含まれる。またMicrosoft ExchangeやNotesなどに対応したメールサーバ向けのウイルス対策製品の一部やゲートウェイ向けの「Symantec Gateway Security 2.0, 2.0.1〜 5400 シリーズ」も該当する。

　該当する製品の詳細は、シマンテックのアドバイザリに記されている。同社では、該当する製品を利用しているユーザーに対し、LiveUpdateもしくはテクニカル・サポートのページより更新版を入手するよう勧めている。

　シマンテックによれば、現在では圧縮ファイルに解析にDEC2EXEエンジンを使用する必要がないため、更新版のスキャンエンジンではDEC2EXEエンジンを削除していたという。また、「Norton Antivirus 2003／2005」「Norton Internet Security 2003／2005」や「Symantec AntiVirus Corporate Edition 9.0（ビルド9.01.1000以降）」「Symantec Client Security 2.0（ビルド9.01.1000以降）」などには、この脆弱性は存在しない。

　同社はアドバイザリの中で、脆弱性のあるエンジンモジュールは「シマンテックのごく一部のセキュリティ製品で」依然として使用されている、というふうに表現している。一方X-Forceでは、大手メーカーやインターネットサービスプロバイダーなどがSymantecのウイルスエンジンを実装している可能性を指摘している。