メールクライアントの脆弱性

【この記事の所要時間 : 約 2 分

jvn_20090211.gif
もう10年以上もメールクライアントは、Becky!を利用しているが、先日、エンジニアからメールヘッダを見て、古いバージョンのBecky!を使っているようなので、アップデートした方がいいと指摘を受けた。古いバージョンには脆弱性があるらしく、独立行政法人情報処理推進機構 (IPA)が運営しているJVN(脆弱性対策情報ポータルサイト)にも以下のような情報が載っていた。もう1年以上前の情報であるので1年以上も脆弱性があるまま使っていたことになる。おーこわ。
Becky! Internet Mail におけるバッファオーバーフローの脆弱性 – 2009/02/12

詳細情報

Becky! Internet Mail はメールクライアントソフトです。Becky! Internet Mail には、メールを閲覧した際の開封確認の処理に問題があり、バッファオーバーフローを起こす脆弱性が存在します。

想定される影響

細工されたメールを閲覧した際の開封確認送付を許可することで、任意のコードが実行される可能性があります。

対策方法

ベンダが提供する情報をもとに最新版へアップデートしてください。

Becky!の開発元であるリムアーツにも該当する情報とアップデートを求める提言がされていたので、とりあえず最新版へアップデートしておいた。
有限会社リムアーツ – セキュリティアップデート(2009/02/11)

Becky! Internet Mail Ver.2.48.02以前のバージョンにて、悪意ある送信者により細工が施された開封確認つきのメールに対して、開封確認を送ることに同意した場合に、送信者が仕込んだ任意のコードが実行可能になる脆弱性が存在しました。
Becky! Ver.2.48.02以前のバージョンをご使用の方は、Ver.2.48.02に対して本件についての対策を行ったVer.2.48.03、あるいは、 Ver.2.50正式版(RC版は非対応)以降にアップデートしていただきますよう、お願いいたします。

こういうのはなにかが起こってからでは遅いので、情報収集と予防の重要性を改めて認識した。

スポンサーリンク
レクタングル(大)広告
  • このエントリーをはてなブックマークに追加
スポンサーリンク
レクタングル(大)広告

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です