無料ウイルス・スキャナのバグでPC乗っ取りのおそれ
セキュリティ研究者が「Trend Micro HouseCall」ユーザーに注意を呼びかけTrend Microの無料オンライン・ウイルス・スキャン・ツールに存在していたバグによって、Internet Explorerが稼働するWindows PCが乗っ取られるおそれがあると、セキュリティ研究者が警告している。
デンマークのSecunia ASPが12月21日に公開したアラートによれば、Trend Microが無料スキャン・ツール「HouseCall」を配布するために利用しているActiveXコントロールにバグが存在するという。攻撃者は、ユーザーを悪意のあるWebページに誘導すれば、このバグを突いてユーザーのPCを乗っ取ることができる。
この脆弱性の原因は、HouseCall ActiveXコントロール(Housecall_ActiveX.dll)のエラーにある。このエラーを攻撃者が利用すれば、ユーザーが悪意のWebページを開いたときに、以前に解放されたデータのメモリー・アドレスを取得することができる。Secunia ASPでは、この脆弱性の深刻度を、同社の5段階評価で2番目に高い「Highly Critical」に分類している。
Trend Microでは、ActiveXコントロールに存在していた問題を修正し、Trend Micro HouseCall Server向けのパッチを提供した。ただし、同社は、このパッチは綿密なテストを経ていないと表明し、万が一、それが不十分だと判明した場合の責任を基本的に回避している。
Internet Explorer(ActiveXを必要としている唯一のWebブラウザ)を利用しているユーザーは、旧バージョンの「HouseCall 6.5」ではなく、新しい「HouseCall 6.6」を利用すべきだと、Secunia ASPは警告している。Trend Microも、HouseCall Serverを社内で利用している企業は、サポート・チャネルを通じて「HouseCall 6.6 Hot Fix Build 1285アップデート」を請求してほしいと述べている。
(Gregg Keizer/Computerworld米国版)
