Microsoft Windows のマルチメディアライブラリに起因するヒープオーバーフローの脆弱性（Scan Tech Report）

1.概要
Microsoft Windows のマルチメディアライブラリにヒープオーバーフローを引き起こしてしまう脆弱性が報告されました。
ユーザが MIDI ファイルを利用する悪質な Web ページを閲覧または悪質な MIDI ファイルを再生した場合、リモートの第三者によってシステム上で不正な操作が実行される可能性があります。
既にこの脆弱性を悪用する攻撃が確認されており、攻撃を受ける可能性が考えられるため、対象のユーザは速やかに以下に記載する対策を実施することを推奨します。

2.深刻度(CVSS)
9.3
http://nvd.nist.gov/cvss.cfm?version=2&name=CVE-2012-0003&vector=%28AV%3AN/AC%3AM/Au%3AN/C%3AC/I%3AC/A%3AC%29

3.影響を受けるソフトウェア
Microsoft Windows XP SP3
Microsoft Windows XP Media Center Edition 2005 Service SP3
Microsoft Windows XP Professional x64 Edition SP2
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 x64 Edition SP2
Microsoft Windows Vista SP2 ※
Microsoft Windows Vista x64 Edition SP2 ※
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for Itanium-based Systems SP2

※Windows Vista OEM (Home Premium/Ultimate エディション) のオプションコンポーネントである、Windows Media Center TV Pack for Windows Vistaもこの脆弱性の影響を受けます。

4.解説
Microsoft Windows に同梱されるマルチメディアライブラリ (winmm.dll) は、Windows Media Player などのマルチメディアアプリケーションでオーディオファイルやビデオファイルを扱う際に利用されるコンポーネントです。

この winmm.dll には、MIDI ファイルを処理する際のオフセット計算に不備があるため、特定の MIDI チャンネルイベントを含む不正な MIDI ファイルを処理した場合に、ヒープオーバーフローが発生する脆弱性が存在します。

この脆弱性を利用することでリモートの攻撃者は、Windows Media Player など winmm.dll を使用するアプリケーションの権限で任意のコードが実行可能となります。

なお、IBM, Symantec, Trend Micro 等のセキュリティベンダによれば、この脆弱性を悪用する攻撃またはマルウェアを確認していると報告しており、各社それぞれのシグネチャによって検知可能であるとしています。

CVE-2012-0003 Exploited in the Wild
http://blogs.iss.net/archive/CVE_2012_0003_Exploi.html
MIDI exploit in the wild
http://www.symantec.com/connect/blogs/midi-exploit-wild
Malware Leveraging MIDI Remote Code Execution Vulnerability Found
http://blog.trendmicro.com/malware-leveraging-midi-remote-code-execution-vulnerability-found/

5.対策
（Web非公開）

6.ソースコード
（Web非公開）

（執筆：株式会社ラック　コンピュータセキュリティ研究所）

※Web非公開該当コンテンツ閲覧をご希望の方はScan Tech Reportにご登録（有料）下さい。