【この記事の所要時間 : 約 2 分】
もう10年以上もメールクライアントは、Becky!を利用しているが、先日、エンジニアからメールヘッダを見て、古いバージョンのBecky!を使っているようなので、アップデートした方がいいと指摘を受けた。古いバージョンには脆弱性があるらしく、独立行政法人情報処理推進機構 (IPA)が運営しているJVN(脆弱性対策情報ポータルサイト)にも以下のような情報が載っていた。もう1年以上前の情報であるので1年以上も脆弱性があるまま使っていたことになる。おーこわ。
Becky! Internet Mail におけるバッファオーバーフローの脆弱性 – 2009/02/12
詳細情報
Becky! Internet Mail はメールクライアントソフトです。Becky! Internet Mail には、メールを閲覧した際の開封確認の処理に問題があり、バッファオーバーフローを起こす脆弱性が存在します。
想定される影響
細工されたメールを閲覧した際の開封確認送付を許可することで、任意のコードが実行される可能性があります。
対策方法
ベンダが提供する情報をもとに最新版へアップデートしてください。
Becky!の開発元であるリムアーツにも該当する情報とアップデートを求める提言がされていたので、とりあえず最新版へアップデートしておいた。
有限会社リムアーツ – セキュリティアップデート(2009/02/11)
Becky! Internet Mail Ver.2.48.02以前のバージョンにて、悪意ある送信者により細工が施された開封確認つきのメールに対して、開封確認を送ることに同意した場合に、送信者が仕込んだ任意のコードが実行可能になる脆弱性が存在しました。
Becky! Ver.2.48.02以前のバージョンをご使用の方は、Ver.2.48.02に対して本件についての対策を行ったVer.2.48.03、あるいは、 Ver.2.50正式版(RC版は非対応)以降にアップデートしていただきますよう、お願いいたします。
こういうのはなにかが起こってからでは遅いので、情報収集と予防の重要性を改めて認識した。
