JPEG 処理の脆弱性を突く攻撃が拡大中

先般来お伝えしている GDI+ ライブラリに存在する JPEG 処理の脆弱性だが、同脆弱性を突く手口が拡大しつつあり、攻撃が大規模化する初期兆候が現われている。

SANS Internet Storm Center (ISC) は先ごろ、同脆弱性を突く概念実証コードが複数出回っており、攻撃が本格化する可能性があると警告していた。そしてわずか数日後、ISC は27日に同脆弱性を突くポルノ画像が、アダルト系ネットニュースグループで出回っていると報告を受けたことを明らかにした。

さらに28日、ISC は America Online の IM 製品『AIM』のプロフィール機能を利用して、同じく JPEG 処理の脆弱性を突く画像を、相手に表示させる行為が発生しているとの報告を受けたことも明らかにした。

ISC はセキュリティ勧告の中で、「AIM で公開するプロフィールに、JPEG 処理の脆弱性を突く画像を忍ばせるというのが基本的な方法だ。攻撃者はその状態で相手にメッセージを送信し、プロフィールを見るよう促す」と説明している。

この攻撃手法は、被害を拡げるために AIM のプロフィール機能を用いているだけで、AIM 自体の脆弱性を対象にしたものではない。

一方アンチウイルス会社 Symantec (NASDAQ:SYMC) は28日、同じく GDI+ ライブラリの脆弱性を突く2種のトロイの木馬について、セキュリティ勧告を公開した。

1つ目は「Trojan.Moo」で、Web サイトから EXE ファイルのダウンロードを試み、成功するとダウンロードしたファイルを実行する。同社は、Trojan.Moo の危険度を「低」としている。

もう1つのトロイの木馬「Backdoor.Roxe」はバックドア型で、複数の JPEG ファイルを生成するほか、特定 IP アドレスへの接続を試み、成功すると感染システム上でコマンドシェルを立ち上げるという。攻撃者はコマンドシェルを使い、既定のドメインから悪質コードをダウンロードして実行する恐れがある。こちらの危険度は「中」だ。

いずれのトロイの木馬についても、すでに定義情報は更新済みで、セキュリティ勧告の中で対処法を説明している。