Internet Watch logo
記事検索
最新ニュース

「Norton AntiVirus 2006」などシマンテックの個人向け製品に脆弱性


 「Norton AntiVirus 2006」などシマンテックの個人向けセキュリティ対策製品のActiveXコントロールに、スタックオーバーフローの脆弱性があることが明らかになった。シマンテックが22日、セキュリティアドバイザリ「SYM07-002」として公表した。

 この脆弱性の影響を受ける製品は、Norton AntiVirus 2006のほか、「Norton Internet Security 2006」「Norton System Works 2006」「Automated Support Assistant」。Norton 2006シリーズの該当製品に対しては、すでにLiveUpdateで対応している。また、Automated Support Assistantは、シマンテックのオンラインサポートサイトで使用しているものだが、こちらについても問題となっているActiveXコントロールをアップデートすることで対処したという。

 シマンテックによると、SupportSoft社が開発したトラブルシューティング用のActiveXコントロールに複数の脆弱性が見つかり、そのうちの2つを、シマンテックが2006年に販売した個人向け製品の一部に採用していた。これらはスタックオーバーフローを引き起こす可能性があるもので、リモートから任意のコードを実行される恐れがある。具体的には、悪意のあるコードを仕掛けたWebサイトにユーザーを誘導するなどの方法で悪用される。

 なお、企業向け製品ではこのActiveXコントロールを搭載していないため、影響を受けない。また、個人向け製品であっても「Norton 360」や「Norton 2007」シリーズは影響を受けないとしている。

 問題のあったActiveXコントロールの開発元であるSupportSoftでも、同社が提供する「SmartIssue」と「ScriptRunner」について、セキュリティアップデートを公開している。

 さらにUS-CERTによると、これらのActiveXコントロールパッケージは、サードパーティの製品においてもリモートアシスタンス機能や技術サポート機能を提供するために使われているという。はっきりとSupportSoftのパッケージと示されていない場合でも含まれている場合があるとして、脆弱性のあるdllファイルの名称を挙げて注意を呼びかけている。


関連情報

URL
  シマンテックのセキュリティアドバイザリ「SYM07-002」
  http://www.symantec.com/region/jp/avcenter/security/content/2007.02.22.html
  SupportSoftのセキュリティアップデート(英文)
  http://www.supportsoft.com/support/controls_update.asp
  US-CERTのセキュリティ情報(英文)
  http://www.kb.cert.org/vuls/id/441785

関連記事
シマンテックのセキュリティ製品に脆弱性、米eEyeが警告(2006/05/26)


( 永沢 茂 )
2007/02/26 17:50

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.