2006年02月02日
複数メールソフトに脆弱性? | (ニュースの視点) |
JVN(ソフトウェア等の脆弱性関連情報を取りまとめるサイト)によれば、複数のメーラー(メールクライアントソフト)で、特定名の添付ファイルを開く際にメーラがハングアップすると言う脆弱性が存在するという。
複数のメールクライアントソフトにおける、添付ファイルによりメールクライアントソフトが使用不能になる脆弱性
セキュリティの観点から該当ソフト名は公表されてないが、上記ページには各ベンダーが申告した「該当しない」ソフトのリストが公開されている。このリストにないからと言って該当するとは限らないが、ないメーラを使っている場合は、念のためにベンダー(メーカ)のホームページで確認しておいたほうがいいだろう。
ただし脆弱性と言っても、積極的にそれを利用してウィルス等を侵入させるとかが可能な類ではない。単に(と言うと語弊があるが)そのメーラがハングアップ状態になるだけのことなので・・・
また、そのような症状を引き起こす特定ファイル名と言うのは、Windows(MSDOS)で定義されているデバイス名だ。つまり CON とか PRN とか・・・しっかし、これって何も今に始まった話ではないし、メーラに限ったことではないのだが(-.-)
デバイス名のファイルを指定すると変な症状を呈するソフトはゴマンとあるし、デバイスもファイルと同様に扱えるというのが、MSDOSなどの unix からの流れを受けついだOSの特徴でもあるわけで、いわば諸刃の剣的な面もある。
それはともかく、上記のリストでは現在のところ、EdMax、Winbiff、秀丸メールについては該当しないと言う申告がなされている。Pochyについては良くわからないが、version 0.3.3 [2005/12/09]で修正済み、とも読める。いずれにしても最新版では問題ないということだろう。
AL-Mail32 については、この件とは別件と思われる脆弱性への対策版が31日に公開されている。これは悪意ある添付ファイルにより任意のプログラムが実行させれたり、データの書き換え、破壊などが行われる可能性があるというもの。デバイス名ファイルの問題は触れられていないので、対応状況は不明。
と言うのがJVNへの申告状況なのだが、いずれもオンラインソフトばかりなのはどうしたことだろう。Outlook Express 等のメーカ系のソフトが何一つ載っていない。JPCERTやIPA(独立行政法人 情報処理推進機構)など経済産業省絡みの組織がやっているにしては、なんともお寒い「権威」だ。いちおう、マイクロソフト等のほとんどのソフトメーカもベンダー一覧には載っているのだが・・・掛け声だけかい、まったく(-.-)
投稿者 shoda T. : 2006年02月02日 21:09
トラックバック
このエントリーのトラックバックURL:
http://shoda.tk/MT/mt-tb.cgi/166
コメント
コメントしてください
名前とメールアドレスは必須です。メールアドレスはブログ上には表示されません。私に届くだけです。 TypeKey ID のサイン・インも必須ではありません。持ってる方だけサイン・インすればいいです。