Googleのセキュリティチーム「Project Zero」は米国時間6月28日、Symantecのコアエンジン内に深刻な脆弱性が複数発見されたと発表した。このコアエンジンは、消費者向けと企業向け両方のセキュリティ製品の基幹部分として使用されている。
同チームによると、Symantecのコアエンジンは同社の製品ラインアップ全体と「Norton」ブランドの製品群で使用されており、消費者と企業の両方に大きな影響を及ぼすおそれがあるという。
Project Zeroのセキュリティ研究者であるTavis Ormandy氏は次のように述べた。
「これらの脆弱性はこの上なく深刻だ。ユーザー側の操作を必要とせず、デフォルトの構成に影響を及ぼす。また、こうしたソフトウェアは可能な限り最高の特権レベルで動作する」
「『Windows』では、脆弱なコードがカーネルに読み込まれ、リモートからカーネルメモリが破壊されるケースもある」
これらのバグは、複数の問題が原因となっている。その1つである「CVE-2016-2208」脆弱性が可能になっているのは、Symantecがアンパッカーをカーネルで実行しており、「些細な」バッファオーバーフローがWindowsベースのカーネルメモリ破壊バグとリモートコード実行の可能性に発展するからだ。
Ormandy氏によると、「被害者に電子メールでファイルを送信するか、エクスプロイトへのリンクを送信するだけでこのバグを引き起こすことができる」ので、この問題を悪用するのに、ユーザー側の操作は一切不要だという。
さらに、「100%確実な」深刻なリターン指向プログラミング(ROP)エクスプロイトをコアエンジンに対して利用し、「Norton Antivirus」と「Symantec Endpoint Protection」のデフォルトの構成に影響を及ぼすことも可能だ。この脆弱性も電子メールやウェブから悪用することが可能で、すべてのSymantec製品とNortonブランド製品に影響を及ぼす。
これらの脆弱性は、Symantecの企業向け主力製品であるSymantec Endpoint Protectionだけでなく、「Norton Security」や「Norton 360」、そのほかのレガシーNorton製品、「Symantec Email Security」「Symantec Protection Engine」「Symantec Protection for SharePoint Servers」などにも影響を及ぼす。
Project Zeroによると、あらゆるプラットフォームのあらゆるバージョンが影響を受けるので、悪用されれば、Symantecは壊滅的な被害を受けるおそれがあるという。同社は企業向けと消費者向けのセキュリティベンダーとしてよく知られている。
シマンテックはアドバイザリを公開し、これらの脆弱性が存在することを認めた。ただし、これらの悪用は確認されていないという。
同社はこの問題を修正する製品アップデートを提供した。さらに、同様の問題が再発するのを防ぐため、自社の「Secure Development LifeCycle」に「追加のチェック」を盛り込んだ。
しかしこれで問題が解決したわけではない。一部の製品は自動的にアップデートされないため、管理者は早急に製品アップデートプロセスを確認して対応し、これらのセキュリティ脆弱性が悪用されるのを防ぐ必要がある。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
