Secuniaの告知ページ

「avast! 4 Home Edition」の設定画面

　デンマークのセキュリティベンダー・Secuniaが21日（現地時間）に明らかにしたところによると、ウイルス対策ソフト「avast!」v4シリーズに2つの脆弱性があるとのこと。Secuniaは本脆弱性の深刻度を、5段階中で上から2番目の“Highly Critical”と判定している。「avast! 4 Home Edition」v4.6.665などで確認されており、「avast!」の本体プログラムを最新版のv4.6.691へ更新することで対応可能。

　「avast! 4 Home Edition」を既にインストール済みのユーザーは、オンラインアップデート機能を利用してプログラムを更新できる。更新の手順は、タスクトレイアイコンを右クリックすると開くメニューから［更新］－［プログラムの更新］とたどればよい。なお「avast! 4 Home Edition」は、初期状態ではウイルス定義ファイルのみ自動更新し、プログラム更新はユーザーの許可を得たときのみ行うようになっているが、プログラムも自動更新するように、この際設定変更しておくのもよいだろう。

　本脆弱性の1つ目は、アーカイブ検査時の入力検証に起因する問題で、細工が施されたACE形式のアーカイブを検査すると、任意フォルダにファイルを作成されてしまうというもの。2つ目は境界エラーに起因する問題で、1つ目とはまた別種の細工が施されたACE形式のアーカイブを検査するとスタックベースのバッファ・オーバーフローが発生し、任意フォルダにファイルを作成されるほか、任意のコードも実行されてしまうというもの。

□Secunia - Advisories - avast! Antivirus ACE File Handling Two Vulnerabilities
http://secunia.com/advisories/15776/
□窓の杜 - avast! 4 Home Edition
http://www.forest.impress.co.jp/lib/inet/security/antivirus/avast.html

（石川 敬峰）