ClamAV 1.5.0 Released with New MS Office and PDF Verification Feature
2025/10/08 CyberSecurityNews — Cisco が発表したのは、オープンソースのウイルス対策エンジンの、重要なアップデートとなる ClamAV 1.5.0 のリリースだ。このアップデートで導入されたのは、セキュリティの大幅な強化と、新しいドキュメント・スキャン機能、API の大幅な改善である。このバージョンでは、プラットフォームにおける検出/検証のメカニズムに重点が置かれ、特に Microsoft Office ドキュメント/PDFファイル/暗号化の整合性が強化されている。それにより、最新のマルウェア脅威に対抗するための強力なツールがユーザーに提供される。
ClamAV 1.5.0 の主な追加機能は、OLE2 ベースの Microsoft Office ドキュメントにおける、暗号化の有無を判定する機能である。この機能は、暗号化を利用した検出の回避を試行する悪意のファイルを、セキュリティ・システムが識別するのに役立つ。
さらに、このアップデートでは、HTML/PDF ファイル内にある Uniform Resource Identifiers (URI) を記録する機能が導入され、メタデータ生成が強化された。
JSON メタデータ生成機能を有効化すると、ClamAV により、それらのリンクの抽出とログへの記録が行われ、脅威分析に役立つ貴重なデータを提供される。
JSON メタデータ機能が必要であっても、URI を記録したくないユーザーのケースでは、JsonStoreHTMLURIs/JsonStorePDFURIs などの新たなコンフィグ・オプションの使用により、きめ細かな制御が可能になる。これらのオプションは、”clamd.conf” またはコマンド・ラインから設定可能である。
強化されたセキュリティと署名検証
このバージョン 1.5.0 では、スキャン・プロセスのセキュリティと整合性が大幅に向上した。主な変更点は、外部の “.sign” ファイルを使用する CVD 署名と検証の導入である。
Freshclam ツールは、これらの外部署名ファイルをデータベース・ファイルとパッチ・ファイルをダウンロードし、より安全な検証を可能にする。それをサポートする ClamAV は、”certs” ディレクトリをインストールし、それを管理するための新しいコンフィグ・オプションを提供する。
さらに、このリリースでは FIPS に類する制限オプションが導入され、デジタル署名の検証およびファイルへの信頼において、MD5 と SHA1 の使用は無効化される。
この変更は、ハッシュ・アルゴリズムの脆弱性に関する懸念を軽減するものであり、FIPS 準拠が求められる環境にとって重要となる。クリーン・ファイル・スキャンのキャッシュも、安全な SHA2-256 アルゴリズムへと MD5 からアップグレードされた。
このリリースでは、多数の API 強化などの改善点が、開発者および管理者に提供される。
パブリック API が更新され、”cl_cvdverify_ex” などの新しい関数や、必要に応じて呼び出し元が FIPS ハッシュ制限を回避する、拡張ハッシュ関数も追加された。
新しいクラスのスキャン・コールバック関数が追加され、ハッシュ前/スキャン前/アラート生成時などの、スキャン・プロセスの各段階での、より細やかな制御が可能となった。
その他の改善点として挙げられるものには、OnAccessExcludePath オプションの正規表現サポート/ClamScan のバイト・スキャン・カウンタの精度向上/ハッシュおよびファイル・タイプのヒントを提供するための新しいコマンドライン・オプションなどがある。
このアップデートで改善されたバグとしては、フィッシング・シグネチャの読み込みプロセスにおけるスタックバッファ・オーバーフロー/特定のメール・ファイルのスキャン時に発生する無限ループ/静的解析で特定された問題などがある。
ClamAV 1.5.0 で改善にされたものには、MD5/SHA1 などの脆弱なハッシュや署名検証/暗号化された Office/PDF の検出回避/メタデータ処理の不備などが挙げられます。今回の外部署名 (.sign) 導入や SHA-256 化、そして暗号化判定や URI 抽出の強化により、堅牢な検出/検証が実現されると、この記事は指摘しています。よろしければ、ClamAV で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.