JPEG 画像処理の脆弱性を突く機能実証コード出回る

Microsoft (NASDAQ:MSFT) が、JPEG 画像の処理部分に存在する、遠隔コード実行を許しかねない脆弱性に対して、修正プログラムを公開したのは今月14日のことだ。しかしこのほど、修正を施していないマシンをターゲットにして、同脆弱性を突く機能実証型コードが見つかった。

インターネット上の悪質行為を追跡している SANS Internet Storm Center (ISC) は、ここ数日間に渡って JPEG 処理の脆弱性を突く機能実証型のコードが複数出回っていることを発見し、有効性のある攻撃コードが出回るのは、時間の問題だと警告した。

Microsoft はすでに、同脆弱性に対するセキュリティ情報「MS04-028」を公開し、深刻度を最大の「緊急」として直ちに適用するよう呼びかけている。

Microsoft は取材に対し、脆弱性を突くコードが出回っていることは把握しており、目下状況を調査中と回答した。なお同社は、MS04-028 のパッチを適用していれば問題はないと、改めて強調した。

現在出回っているコードが単なる機能実証例だとしても、この事実は、有効性を持った攻撃コードを作成しようとしている個人およびグループが存在することを示すものとして、警戒すべきと ISC は述べている。

「有効性のある攻撃コードは、おそらく数日ないしは1週間以内に、広く出回ることになるだろう。その後出回ったコードを利用し、どこかの個人あるいはグループが、その気になればすぐに悪質プログラムを作成して攻撃をしかけるのは目に見えている。確かなことを言えるわけではないが、9月末までには、ワームや大量メール送信型の攻撃コードが出回るだろう」と ISC は警告した。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール