先週末、米MicrosoftがマルチメディアフレームワークおよびAPIの脆弱性を修正する重要なパッチを準備していた一方で、攻撃者がマルチフォーマットメディアプレーヤー「Winamp」の脆弱性を悪用する方法を示すコンセプト実証コードが登場した。WinampはNullsoftが提供するWindows対応メディアプレーヤーで、Windows Media Playerに次いで世界で2番目に普及している。
Symantecは12月8日にセキュリティアドバイザリーを発表し、「Winampが一部のMP4ファイルを処理する方法に脆弱性があり、攻撃者がこれを突いてシステムを乗っ取る危険がある」と警告した。Nullsoftは、バッファオーバーフローを引き起こすこの脆弱性にWinamp 5.35で対処した。この脆弱性はWinamp 5.02〜5.34に影響する。
攻撃者がこの脆弱性を悪用する方法は、悪意あるMP4ファイルを作成し、これによってバッファオーバーフローを発生させるというもの。Symantecによると、このファイルには代替メモリアドレス、任意のコード、NOP(No Operation)コマンドが含まれると考えられる。NOPは、CPUクロックサイクルを消費する以外何もしないアセンブリ言語のコマンド。
こうした不正なファイルは電子メールなどの手段で配布される恐れがある。脆弱性の悪用が成功すると、システムを完全に乗っ取ることが可能になる。Symantecは、脆弱性を突いた攻撃が実際に行われた例を確認していない。
Symantecはユーザーに、パッチをすぐにインストールできない場合は、ネットワーク侵入検知システムを使ってネットワークトラフィックを監視し、脆弱性を悪用しようとする試みや、システムが乗っ取られたことによって発生するような不審な挙動(NOPコマンドや原因不明のトラフィックなど)をチェックすることを勧めている。
また、Symantecはユーザーに、信頼できない、または不明な差出人から送られたファイルにアクセスしないようにし、特に、Winampでそうしたファイルをロードしないよう注意を呼び掛けている。
Nullsoftのパッチはここ(訳注:このリンクからは実行ファイルが直接ダウンロードされます)でダウンロード配布されている。
関連記事
- 12月のMS月例パッチ、IEやWindows Mediaの脆弱性に対処
「緊急」レベルの3件は、サポート対象のWindowsのほぼすべてに影響が及ぶ。 - 「Storm Worm」が手口切り替え、今度は会員登録メールを利用
eカードやニュース便乗で感染を広げてきたStorm Wormが、今度は会員制サイトの会員登録と称して不正サイトに誘導する手口を採用した。
Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.