• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

ニュース

「Winny(ウィニー)」にセキュリティ・ホールが見つかる

勝村 幸博=ITpro 2006/04/21 ITpro
セキュリティ・ホールの概要(<a href="http://www.ipa.go.jp/security/vuln/documents/2006/JVN_74294680_winny.html" target=_blank>IPAの発表資料</a>から引用)
セキュリティ・ホールの概要(<a href="http://www.ipa.go.jp/security/vuln/documents/2006/JVN_74294680_winny.html" target=_blank>IPAの発表資料</a>から引用)
[画像のクリックで拡大表示]

 JVN(Japan Vendor Status Notes)は4月21日,ファイル共有ソフト「Winny(ウィニー)」にバッファ・オーバーフローのセキュリティ・ホールが見つかったことを明らかにした。細工が施されたデータを送信されると,Winnyが異常終了する可能性がある。情報処理推進機構(IPA)では,「Winny利用の中止」を回避策として挙げている

 セキュリティ・ホールが確認されているのは,Winny 2.0 b7.1およびそれ以前のバージョン。発見者は,米eEye Digital Securityの鵜飼裕司氏。同氏が「情報セキュリティ早期警戒パートナーシップ」に基づいてIPAに報告し,JPCERTコーディネーションセンター(JPCERT/CC)が製品開発者と調整を行なった。

 JVNのサイトに掲載されている開発者のコメントによれば,同氏自身はWinnyのアップデートおよびセキュリティ・ホールの具体的な検証が困難な状況にあるという。

 また,一般的にバッファ・オーバーフローのセキュリティ・ホールを悪用すれば,遠隔地(リモート)から任意のプログラムを実行させることが可能となる場合が多いが,開発者は「Winnyは様々な部分でチェックをしているので,私としては,仮にバッファ・オーバーフローの脆弱性への攻撃を想定した場合でも,これによりあらゆる任意のコードが実行可能という訳では無いと判断しております」とコメントしている。

 セキュリティ・ホールの影響を受けないための対策は,Winnyの利用を中止すること。IPAは公開情報の中で,「開発者による修正方法は公表されていませんので,回避方法は『Winny利用の中止』となります」としている。

【4月24日追記】eEye Digital Securityは米国時間4月21日,今回見つかったセキュリティ・ホールは,細工が施されたデータを送信されるだけで任意のプログラムを実行される恐れがある,危険なセキュリティ・ホールであることを明らかにした(関連記事)。【以上,4月24日追記】

◎参考資料
JVN#74294680 Winny におけるバッファオーバーフローの脆弱性
金子 勇の JVN#74294680 への対応
JVN#74294680:「Winny」におけるバッファオーバーフローの脆弱性

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【夏休みスペシャル 2017】

    屋内トレで夏を乗り切る、無料ヨガアプリの実力

     いよいよ夏休み。ひと息ついて、秋から年末にかけての忙しい時期に備えて、エネルギーチャージをしておきたいところだ。それに向けて大事になってくるのが、体のメンテナンスである。そこで今回は、ストレッチやヨガを自宅で実施するための無料iPhoneアプリから、3つを厳選して紹介したい。

  • 【夏休みスペシャル 2017】

    IT業界でいまだにあるある?プロジェクト迷走記

     中堅F:この春にうちの部署に配属になってもう3カ月たったけど、仕事は順調かい? 新人O:はい、何とかやっています。でももうすぐ夏期休暇でホッとしています。でも先輩は元気がないですね。 中堅F:取引先といろいろあってね。「なんでこんなに理不尽な目に遭うんだ!」って思うことがときどきあるんだ。

ITpro SPECIALPR

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る