Symantecのコンシューマー製品に脆弱性

Norton AntiVirusなどに搭載されているActiveXコントロールに脆弱性が存在し、不正コードを仕掛けたサイトを使って悪用される恐れがある。

[ITmedia]

　Symantecのコンシューマー製品にスタックオーバーフローの脆弱性が存在することが分かり、同社はLiveUpdateを通じてこの問題を修正するアップデートを配布している。

　Symantecのアドバイザリーによると、脆弱性は、同社コンシューマー製品に搭載されているSupportSoft製のトラブルシューティング用ActiveXコントロールに存在する。

　攻撃者は、不正コードを仕掛けたサイトをユーザーに閲覧させることでこの脆弱性を悪用することが可能。その結果、ユーザーのシステムを乗っ取られ、任意のコードを実行されたりシステムリソースに不正アクセスされる恐れがある。

　脆弱性があるのはNorton AntiVirus 2006、Norton Internet Security 2006、Norton System Works 2006の各製品と、コンシューマー向けサイトで提供しているサポートツールのSymantec Automated Support Assistant。なお、エンタープライズ製品には問題のコンポーネントは搭載されておらず、この脆弱性は存在しない。

　深刻度は、セキュリティ企業Secuniaのアドバイザリーで上から2番目に高い「Highly critical」となっている。

　Symantecでは、SupportSoftと協力してこの問題を修正するアップデートを提供し、LiveUpdate経由でユーザーに配布している。LiveUpdateを自動で実行する設定になっていない場合は、頻繁に更新を行ってアップデートを適用するよう勧告している。

　同社によると、この脆弱性が広範に悪用されたり、ユーザーが影響を受けたという報告は入っていないという。