公開日:2010/02/12 最終更新日:2010/05/21

JVNVU#869993
Panda Security ActiveScan におけるコンポーネントのデジタル署名を検証しない問題

概要

Panda ActiveScan のインストーラコンポーネントには、ダウンロードされたソフトウェアコンポーネントのデジタル署名を検証しない問題が存在します。

影響を受けるシステム

  • as2stubie.dll 1.3.3.0 より前のバージョン

詳細情報

Panda ActiveScan は、ウイルスやスパイウェアなどをオンラインでスキャンする製品です。Panda ActiveScan のインストーラコンポーネントには、ダウンロードされたコンポーネントのデジタル署名を検証しない問題が存在します。

想定される影響

細工された HTML 文書を読み込んだ場合、ユーザの権限で任意のコードを実行される可能性があります。

対策方法

アップデートする
開発者は対策版として、as2stubie.dll 1.3.3.0 を提供しています。

Panda ActiveScan のウェブサイトにアクセスし、コンポーネントをアップデートすることで最新版に更新されます。

ワークアラウンドを実施する
対策版を適用するまでの間、以下の回避策を適用することで、本問題の影響を軽減することができます。

  • セキュリティ更新プログラム MS10-008 を適用することで、当該 ActiveX コントロールの kill bit が設定されます。

参考情報

  1. US-CERT Vulnerability Note VU#869993
    Panda Security ActiveScan fails to properly validate downloaded software

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2010.02.12における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 専門知識や運 (条件が揃う確率は中程度) が必要
  • 低 - 中

各項目の詳しい説明

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2009-3735
JVN iPedia JVNDB-2010-001146

更新履歴

2010/05/21
関連文書に JVN iPedia へのリンクを追加しました。