Norton AntiVirusなどに搭載されているActiveXコントロールに脆弱性が存在し、不正コードを仕掛けたサイトを使って悪用される恐れがある。
Symantecのコンシューマー製品にスタックオーバーフローの脆弱性が存在することが分かり、同社はLiveUpdateを通じてこの問題を修正するアップデートを配布している。
Symantecのアドバイザリーによると、脆弱性は、同社コンシューマー製品に搭載されているSupportSoft製のトラブルシューティング用ActiveXコントロールに存在する。
攻撃者は、不正コードを仕掛けたサイトをユーザーに閲覧させることでこの脆弱性を悪用することが可能。その結果、ユーザーのシステムを乗っ取られ、任意のコードを実行されたりシステムリソースに不正アクセスされる恐れがある。
脆弱性があるのはNorton AntiVirus 2006、Norton Internet Security 2006、Norton System Works 2006の各製品と、コンシューマー向けサイトで提供しているサポートツールのSymantec Automated Support Assistant。なお、エンタープライズ製品には問題のコンポーネントは搭載されておらず、この脆弱性は存在しない。
深刻度は、セキュリティ企業Secuniaのアドバイザリーで上から2番目に高い「Highly critical」となっている。
Symantecでは、SupportSoftと協力してこの問題を修正するアップデートを提供し、LiveUpdate経由でユーザーに配布している。LiveUpdateを自動で実行する設定になっていない場合は、頻繁に更新を行ってアップデートを適用するよう勧告している。
同社によると、この脆弱性が広範に悪用されたり、ユーザーが影響を受けたという報告は入っていないという。
Copyright © ITmedia, Inc. All Rights Reserved.