SYM07-007
2007 年 5 月 16 日
Symantec Norton Personal Firewall 2004 の ActiveX コントロールにバッファ・オーバーフローの脆弱性

改編履歴
なし

危険性
中

概要
Norton Personal Firewall 2004 および Norton Internet Security 2004 で使用する ActiveX コントロールに、バッファ・オーバーフローの脆弱性が存在します。

影響を受ける製品

影響を受けない製品

解説
シマンテックは CERT から、Norton Personal Firewall で使用する ActiveX コントロールにバッファ・オーバーフローの脆弱性が存在するという報告を受けました。このエラーは、ISAlertDataCOM で使用される Get（）および Set（）関数で発生します。ISAlertDataCOM は ISLALERT.DLL に含まれています。この脆弱性の悪用に成功すると、脆弱なシステム上で、ログインしているユーザの権限によりリモートでコードを実行することが可能になります。

弊社の対応
シマンテックは、本件が Norton Personal Firewall 2004 および Norton Internet Security 2004 のみに影響を及ぼすことを確認しました。この問題に対応するための製品更新版を、LiveUpdate を通じて入手いただけます。

攻撃者がこの脆弱性の悪用に成功するためには、ユーザが特別に細工された HTML 文書を閲覧するように仕向ける必要があります。この種の攻撃を成功させるためによく使われる手法は、悪質なサイトへのリンクを含む電子メールを送信し、受信者にそのリンクをクリックさせようとするものです。

弊社は、本件に起因したお客様からの被害報告、または本件を悪用する試みについての報告は、受けておりません。

通常のベスト・プラクティスの一環として、お使いのコンピュータにインストールしているすべてのオペレーティング・システムおよびアプリケーションに対し、各製品ベンダーから配布されている修正パッチや更新プログラムを適用することで、システムを常に最新の状態にしておくよう心がけてください。影響を受ける製品をご使用のお客様は、この脆弱性を悪用しようとする試みを防止するため、お使いの製品を直ちに更新されることを推奨します。

更新の入手方法
Norton Internet Security 2004 および Norton Personal Firewall 2004 をお使いのお客様が、通常手動で LiveUpdate を実行して製品更新版を入手されている場合には、今回の更新も同様の方法で入手いただけます。以下の手順に従って手動で LiveUpdate を実行してください。

·         インストールされている Norton 製品を開きます。

·         LiveUpdate をクリックします。

·         LiveUpdate を実行します。

入手可能なすべての製品更新版がまだインストールされていない場合には、それらを先に入手していただくことが必要となります。過去の製品更新版を入手するためには、お使いの LiveUpdate の設定を変更して LiveUpdate のアーカイブ・サーバに接続していただくことが必要です。

詳細については、以下の Knowledgebase アーティクルを参照してください。

シマンテック LiveUpdate サーバにアーカイブされた更新プログラムの入手方法
http://service1.symantec.com/SUPPORT/sharedtech.nsf/docid/2007010219171513

入手可能なすべての更新のダウンロードおよびインストールが完了したら、この脆弱性に対応する更新をダウンロードできます。

緩和策
シマンテックは、下記の表に記載したシマンテック製品に対応する IPS シグネチャをリリースしました。これにより、この脆弱性を悪用しようとする試みを検出することができます。

ベスト・プラクティス
通常のベスト・プラクティスの一環として、多重的なセキュリティ対策を講じることを強く推奨します。

·         最小の権限を付与する原則の下で操作を実行します。

·         オペレーティング・システムとアプリケーションは、ベンダーが提供する最新の修正プログラムを適用することで、常に最新の状態にしておきます。

·         最新の状態に更新したパーソナル・ファイアウォールおよびウイルス対策アプリケーションを実行し、脅威を複数の場所で検出および防止します。

·         電子メールで添付ファイル、実行形式ファイル、および Web リンクを受信するときは慎重に対応してください。未知の送信者からの電子メールは開封しないでください。

·         電子メール・アドレスは、受信者の知人からのメールであるようになりすますことも容易にできます。疑わしい場合には、添付ファイルを開封したり Web リンクにアクセスする前に、送信者に確認します。

クレジット
本件の報告と解決にあたりご協力いただいた CERT Coordination Center（http://www.cert.org/certcc.html）の Will Dormann 氏に感謝いたします。
本件は、様々なセキュリティ問題の名称が標準化されている Common Vulnerabilities and Exposures（CVE）リスト（http://cve.mitre.org）への登録候補となっています。CVE 推進グループは、本件に対し CVE-2007-1689 という識別番号を付けました。

弊社は、シマンテック製品のセキュリティ面および機能面を重視しています。シマンテックは、Organization for Internet Safety（OISafety）の設立メンバーの一員として、責任ある開示プロセスに従って情報開示を行っています。また、シマンテックは、NIAC（National Infrastructure Advisory Council ：米国の国家インフラ諮問委員会）による脆弱性評価基準ガイドラインに賛同Sしています。シマンテック製品に関して、セキュリティ上問題であるか、あるいは問題となり得る点を発見した場合は、secure@symantec.com（米国）までご一報ください。シマンテック製品セキュリティ・チームの担当者が、折り返しご連絡させていただきます。

弊社は、シマンテック製品に存在する疑いがある脆弱性への対応プロセスについて概説した、Product Vulnerability Handling Process（製品脆弱性対応プロセス）ドキュメントを作成しました。弊社は、シマンテック製品をお使いのお客様を保護するとともに、インターネットのセキュリティを守るために、あらゆる脆弱性情報の迅速かつ責任ある開示をお約束します。このドキュメントは、下記の場所から入手いただけます。

脆弱性情報を弊社にお寄せになる際には、必ず暗号化された電子メールを使用して secure@symantec.com（米国）まで送信くださるようお願いいたします。SymSecurity PGP キーは、下記の場所から入手いただけます。

Copyright (c) 2007 by Symantec Corp.
このアドバイザリーの電子媒体による配信は、Symantec Product Security の許可なく改ざんを行わない場合に限り認められています。このアドバイザリーの一部または全部を電子媒体以外の媒体へ複製または印刷する場合は必ず事前にシマンテックの許可を受ける必要があります。

免責事項
このアドバイザリーは、発行時点で確認されていた情報を基に正確であると判断された情報で構成されています。記載情報の使用は、現状のまま使用することを条件に認められています。本書の記載内容について弊社は一切保証いたしておりません。本書の使用あるいは信頼性に関連して生じる直接的、間接的、派生的な損失または損害に関して、本書の著者も発行者も一切責任を負いません。

Symantec、Symantec Product Security、VERITAS、およびシマンテックの各製品名は、Symantec Corp. およびその関連会社の米国および各国における登録商標です。その他の商品名・会社名等はすべて各社の商標または登録商標です。

米国サイト最終更新日: 2007年5月16日（水） 08:05:14