2004年09月18日 - MS04-028とマルウェア・スパイウェアの予感
JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される (833987) (MS04-028) なる中々印象的な脆弱性が発表されたんですが。
過去にも画像ファイルに何かを埋め込むウイルスは幾つかはあったんですが。
しかし画像に埋め込まれた何かを別個に呼び出す必要があった。つまり何かに感染中でなければ、それは利用されなかった。つまりステガノグラフィー(画像埋め込み、みたいな)のような。
例としてPerrunなどである。
このMS04-028のExploitは、これらとは考えられうる感染経路なりが全く違う。
これまでの常識では、画像や音楽関連のファイルはウイルスとは無縁との解釈がまかり通っている。
(例外としてTrojan.Linux.JBellz、ただこれは被害範囲があまりにも狭いので、ここでは論じない)
つまりMS04-028、未感染ユーザーがjpg画像ファイルをダブルクリックしただけで、何らかの被害を受ける可能性がある。
想定される被害の範囲は、Windowsユーザーほぼ無限。
現実の話として、この対策を完全に行うのは極めて困難である。
Windows Updateは知名度が高いが、Office Updateの存在をどれだけの人が知っているのか。恐らく数パーセント以下であろう。
これは一見するとWindows 2000/XP/Server 2003以前のOSでは直接の危険性はないように思えるんだろうか。しかしその他のアプリケーションをインストールしている環境では、リスクは残ったままである。
またWindows上で動作するサードパーティ(Microfoft以外が製造した)製品も、この脆弱性の影響を受ける可能性がある。これらが存在する限り、今後完全に対応するのは難しい。
開発者やメーカーがリリース済みの製品に対してどこまで修正してくれるのか、またユーザーはそれだけ頻繁にアップデートをしているのかという点で疑問がある。
メール経由でこのExploitを含む画像を送りつけられるケースを除けば、大量感染はあまり心配されていないようだが。
コメントスパムや画像掲示板への自動投稿経由で、CWSなどに感染する事例が多い現状この危険な画像ファイルを画像貼り付け掲示板に自動的に貼り付ける業者が出現した場合、その被害はどれだけの規模になるのだろう。
これらは悪質なアダルトサイト運営者などが頻繁に使う手口だからだ。そして彼らはIEのExploitを頻繁に利用する傾向がある。
A. 脆弱性が存在するモジュールは gdiplus.dll です。このモジュールのバージョン番号が 5.1.3102.1355 未満の場合、脆弱性が存在します。
GDI+ を利用している製品のセキュリティ対策方法についてよく寄せられる質問 (FAQ)
2004-9-22追記
セキュリティホールmemoでKJMさんが解説していた。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-09-18 MS04-028とスパム・スパイウェアの予感(http://d.hatena.ne.jp/LucaLuca/20040918)を修正・加筆し移転したものです。
過去にも画像ファイルに何かを埋め込むウイルスは幾つかはあったんですが。
しかし画像に埋め込まれた何かを別個に呼び出す必要があった。つまり何かに感染中でなければ、それは利用されなかった。つまりステガノグラフィー(画像埋め込み、みたいな)のような。
例としてPerrunなどである。
このMS04-028のExploitは、これらとは考えられうる感染経路なりが全く違う。
これまでの常識では、画像や音楽関連のファイルはウイルスとは無縁との解釈がまかり通っている。
(例外としてTrojan.Linux.JBellz、ただこれは被害範囲があまりにも狭いので、ここでは論じない)
つまりMS04-028、未感染ユーザーがjpg画像ファイルをダブルクリックしただけで、何らかの被害を受ける可能性がある。
想定される被害の範囲は、Windowsユーザーほぼ無限。
現実の話として、この対策を完全に行うのは極めて困難である。
Windows Updateは知名度が高いが、Office Updateの存在をどれだけの人が知っているのか。恐らく数パーセント以下であろう。
これは一見するとWindows 2000/XP/Server 2003以前のOSでは直接の危険性はないように思えるんだろうか。しかしその他のアプリケーションをインストールしている環境では、リスクは残ったままである。
またWindows上で動作するサードパーティ(Microfoft以外が製造した)製品も、この脆弱性の影響を受ける可能性がある。これらが存在する限り、今後完全に対応するのは難しい。
開発者やメーカーがリリース済みの製品に対してどこまで修正してくれるのか、またユーザーはそれだけ頻繁にアップデートをしているのかという点で疑問がある。
メール経由でこのExploitを含む画像を送りつけられるケースを除けば、大量感染はあまり心配されていないようだが。
コメントスパムや画像掲示板への自動投稿経由で、CWSなどに感染する事例が多い現状この危険な画像ファイルを画像貼り付け掲示板に自動的に貼り付ける業者が出現した場合、その被害はどれだけの規模になるのだろう。
これらは悪質なアダルトサイト運営者などが頻繁に使う手口だからだ。そして彼らはIEのExploitを頻繁に利用する傾向がある。
A. 脆弱性が存在するモジュールは gdiplus.dll です。このモジュールのバージョン番号が 5.1.3102.1355 未満の場合、脆弱性が存在します。
GDI+ を利用している製品のセキュリティ対策方法についてよく寄せられる質問 (FAQ)
Q. 脆弱性のあるモジュールはなんですか?また、バージョン番号はいくつですか?
A. 脆弱性が存在するモジュールは gdiplus.dll です。このモジュールのバージョン番号が 5.1.3102.1355 未満の場合、脆弱性が存在します。
GDI+ を利用している製品のセキュリティ対策方法についてよく寄せられる質問 (FAQ)
2004-9-22追記
セキュリティホールmemoでKJMさんが解説していた。
%windir%\WinSxS というのが「Side-by-Side アセンブリキャッシュ」と呼ばれるフォルダなのだそうです。ちなみに MS04-028 の場合、5.1.3102.1355 以前のバージョンの gdiplus.dll で影響が発生するそうです。 Side-by-Side は、「DLL 地獄」を避けるために複数のバージョンの DLL をアプリ毎に別々に利用するための機構のようです。しかしこれを利用してしまうと、セキュリティホールが残っている DLL を使い続けることにつながってしまう場合があるのでなるべく使わないようにしてね、ということのようです。
セキュリティホールmemo 2004-9-20
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
このブログは、Lucablog 2004-09-18 MS04-028とスパム・スパイウェアの予感(http://d.hatena.ne.jp/LucaLuca/20040918)を修正・加筆し移転したものです。
Posted by Luca at 18:39
│
│
│
│
次の記事
