JPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)は1月31日,複数のメール・クライアント・ソフトが影響を受ける脆弱性(セキュリティ・ホール)を明らかにした。特定のファイル名を持つ添付ファイルを開くと,ソフトの処理が停止して使用不能状態に陥る場合があるという。現時点では,影響を受ける具体的なソフト名は公表されていない。
IPAの情報によると,ファイル名にデバイス・ファイル名を含む添付ファイルを処理する際に問題が発生するという。そのような添付ファイルを開こうとすると,メール・ソフトの処理が停止して使用できない状態になる場合がある。これは,メール・ソフトが添付ファイルをデバイス・ファイルと見なしてしまい,入力を待ち続けて処理が先に進まないなど,想定外の処理がおこなわれるためだという。
発生する問題はメール・ソフトによって異なる。「添付ファイルの保存処理が終了しない」や「関連付けされたアプリケーションでエラー・メッセージが表示される」といった問題が発生する場合もあるという。
対策や回避策は,それぞれのベンダーが公開する情報を参照する必要がある。JP Vendor Status Notes(JVN)の「ベンダ情報」によれば,「EdMax」や「Winbiff」では使用不能に陥ることはないという。現時点(1月31日)では,影響を受ける製品名は明らかにされていない。
「ベンダ情報」は随時更新されることが予想されるので,同ページならびに自分が利用しているソフトのベンダーのWebサイトなどを参照して,影響の有無や対策などを確認したい。
◎参考資料
◆JVN#89344424 複数のメールクライアントソフトにおける,添付ファイルによりメールクライアントソフトが使用不能になる脆弱性(JP Vendor Status Notes)
◆JVN#89344424:複数のメールクライアントソフトにおける,添付ファイルによりメールクライアントソフトが使用不能になる脆弱性(情報処理推進機構)
