 |
 |
記事検索 |
最新ニュース |
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
「Norton AntiVirus 2006」などシマンテックの個人向け製品に脆弱性 |
||||||||
|
||||||||
|
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
「Norton AntiVirus 2006」などシマンテックの個人向けセキュリティ対策製品のActiveXコントロールに、スタックオーバーフローの脆弱性があることが明らかになった。シマンテックが22日、セキュリティアドバイザリ「SYM07-002」として公表した。 この脆弱性の影響を受ける製品は、Norton AntiVirus 2006のほか、「Norton Internet Security 2006」「Norton System Works 2006」「Automated Support Assistant」。Norton 2006シリーズの該当製品に対しては、すでにLiveUpdateで対応している。また、Automated Support Assistantは、シマンテックのオンラインサポートサイトで使用しているものだが、こちらについても問題となっているActiveXコントロールをアップデートすることで対処したという。 シマンテックによると、SupportSoft社が開発したトラブルシューティング用のActiveXコントロールに複数の脆弱性が見つかり、そのうちの2つを、シマンテックが2006年に販売した個人向け製品の一部に採用していた。これらはスタックオーバーフローを引き起こす可能性があるもので、リモートから任意のコードを実行される恐れがある。具体的には、悪意のあるコードを仕掛けたWebサイトにユーザーを誘導するなどの方法で悪用される。 なお、企業向け製品ではこのActiveXコントロールを搭載していないため、影響を受けない。また、個人向け製品であっても「Norton 360」や「Norton 2007」シリーズは影響を受けないとしている。 問題のあったActiveXコントロールの開発元であるSupportSoftでも、同社が提供する「SmartIssue」と「ScriptRunner」について、セキュリティアップデートを公開している。 さらにUS-CERTによると、これらのActiveXコントロールパッケージは、サードパーティの製品においてもリモートアシスタンス機能や技術サポート機能を提供するために使われているという。はっきりとSupportSoftのパッケージと示されていない場合でも含まれている場合があるとして、脆弱性のあるdllファイルの名称を挙げて注意を呼びかけている。 関連情報 ■URL シマンテックのセキュリティアドバイザリ「SYM07-002」 http://www.symantec.com/region/jp/avcenter/security/content/2007.02.22.html SupportSoftのセキュリティアップデート(英文) http://www.supportsoft.com/support/controls_update.asp US-CERTのセキュリティ情報(英文) http://www.kb.cert.org/vuls/id/441785 ■関連記事 ・ シマンテックのセキュリティ製品に脆弱性、米eEyeが警告(2006/05/26)
( 永沢 茂 )
- ページの先頭へ-
|
