［米国］
無料ウイルス・スキャナのバグでPC乗っ取りのおそれ

セキュリティ研究者が「Trend Micro HouseCall」ユーザーに注意を呼びかけ

（2008年12月24日）

　Trend Microの無料オンライン・ウイルス・スキャン・ツールに存在していたバグによって、Internet Explorerが稼働するWindows PCが乗っ取られるおそれがあると、セキュリティ研究者が警告している。

　デンマークのSecunia ASPが12月21日に公開したアラートによれば、Trend Microが無料スキャン・ツール「HouseCall」を配布するために利用しているActiveXコントロールにバグが存在するという。攻撃者は、ユーザーを悪意のあるWebページに誘導すれば、このバグを突いてユーザーのPCを乗っ取ることができる。

　この脆弱性の原因は、HouseCall ActiveXコントロール（Housecall_ActiveX.dll）のエラーにある。このエラーを攻撃者が利用すれば、ユーザーが悪意のWebページを開いたときに、以前に解放されたデータのメモリー・アドレスを取得することができる。Secunia ASPでは、この脆弱性の深刻度を、同社の5段階評価で2番目に高い「Highly Critical」に分類している。

　Trend Microでは、ActiveXコントロールに存在していた問題を修正し、Trend Micro HouseCall Server向けのパッチを提供した。ただし、同社は、このパッチは綿密なテストを経ていないと表明し、万が一、それが不十分だと判明した場合の責任を基本的に回避している。

　Internet Explorer（ActiveXを必要としている唯一のWebブラウザ）を利用しているユーザーは、旧バージョンの「HouseCall 6.5」ではなく、新しい「HouseCall 6.6」を利用すべきだと、Secunia ASPは警告している。Trend Microも、HouseCall Serverを社内で利用している企業は、サポート・チャネルを通じて「HouseCall 6.6 Hot Fix Build 1285アップデート」を請求してほしいと述べている。

(Gregg Keizer／Computerworld米国版)