ニュース
» 2005年11月14日 15時51分 公開

11月公表の脆弱性は悪用しない――Trend Micro、「TROJ_EMFSPLOIT.A」の説明を修正

Trend Microのウイルス研究者らは、11月に公開された最新のWindowsの脆弱性を悪用するトロイの木馬が見つかったと警告したが、これは勇み足だったようだ。

[Ryan Naraine,eWEEK]
eWEEK

 Trend Microのウイルス研究者らは、最近パッチが公開されたWindowsの脆弱性を悪用するトロイの木馬が見つかったと警告したが、これは勇み足だったようで、翌日にはその後始末をする羽目になった。

 Microsoftは先週、画像レンダリングに関連する3つの脆弱性に対するパッチを提供した。Trend Microは、これらの脆弱性に付け込むコンセプト実証型トロイの木馬「TROJ_EMFSPLOIT.A」を発見したと発表したが、それからちょうど24時間後に、発表内容を修正した。

 このトロイの木馬に関する同社の説明から、「MS05-053の脆弱性が悪用される」という記述が削除されたのである。

 Trend Microの広報担当者がZiff Davis Internet Newsに語ったところによると、座像レンダリング処理に関連する欠陥について誤った記述がなされたのは、問題のトロイの木馬がこの脆弱性を悪用するタイプとして分類されるような振る舞いを示したからだとしている。

 「当社のTrend Labsチームは現在、Microsoftと共同で、TROJ_EMFSPLOIT.AがMS05-053の脆弱性を悪用するコードに分類されるものなのか、それとも関連性があるコードが含まれているだけで、MS05-053を狙ったものではないのか判断すべく作業を進めている」と同担当者は話している。

 Trend Microでマルウェア対策を担当するチーフテクノロジスト、レイマンド・ジーンズ氏は、同社の当初の判断に誤りがあったことを認めている。

 「この問題に対応する時間的余裕がなかったため、徹底的に分析できなかった。迅速に対応する必要があると判断したため、十分な時間をかけられなかった」とジーンズ氏は取材で答えている。

 ジーンズ氏によると、Trend Microは日本の顧客からトロイの木馬のサンプルを受け取った。当初の調査では、同コードはパッチ未適用のWindowsシステム上の「explorer.exe」および「EMF File Viewer」を確かにクラッシュさせたという。

 explorer.exeは、「スタート」メニュー、タスクバー、デスクトップ、ファイルマネージャなどを提供するWindowsグラフィカルシェルを管理するのに必要なファイルである。これらの基本サービスに障害を与える悪質な攻撃は、非常に破壊的であると考えられている。

 ジーンズ氏によると、Service Pack 1(SP1)を適用していないWindows XPで動作するシステムでは、トロイの木馬がexplorer.exeプロセスをクラッシュさせたが、SP1をインストールしたWindows XPシステムでは、explorer.exeがクラッシュしなかったという。

 Trend MicroがMSRC(Microsoft Security Response Center)と共同作業を開始したとき、同社の研究者らは、実証コードが成功していれば、Windows XP SP1とSP2の両方が影響を受けただろうと聞かされたらしい。

 「われわれは引き続きMicrosoftと共同で、このトロイの木馬がどのようなものであり、MS05-053との関連においてどのように分類されるのかを明確化すべく調査中である。しかし、われわれが当初説明したものとは異なるようだ」(ジーンズ氏)

 Microsoftの広報担当者によると、同社では、このトロイの木馬を使った攻撃の存在を確認していないという。

 「Microsoftでは今後も、すべてのユーザーに対し、MS05-053のパッチならびにユーザーのシステムを攻撃から防御するための当社がリリースした最近のすべてのセキュリティアップデートを適用するよう求める方針だ」(同担当者)

 MS05-053セキュリティ警告で公開されたMicrosoftのパッチは、Windows OSの画像レンダリング処理に関する3つの欠陥に対処する。これらの欠陥は、画像を表示する任意のソフトウェア(広範に普及しているMicrosoft Outlook、Microsoft Word、Internet Explorerなども含む)を通じて悪用することが可能である。

 これらの欠陥がとりわけ危険だと考えられているのは、仕掛けを施した画像ファイルが含まれる悪質なサイトをブラウズしたり、電子メールプログラムのプレビュー画面で画像を表示させたりするだけで、ユーザーが危険にさらされる恐れがあるからだ。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ