情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は5月9日,複数のメール・ソフトに見つかった脆弱性(セキュリティ・ホール)を公表した。細工が施された添付ファイルを開くと,そのファイルがユーザーの予期せぬ場所に保存され,既存ファイルが上書きされる可能性などがある。対策は,各ベンダーが提供する修正パッチや修正版を利用すること。
今回明らかにされた脆弱性は,添付ファイルのファイル名の取り扱いに関するもの。いくつかのメール・ソフトには,Unicodeで書かれた添付ファイル名を処理する際,パスの区切りを示す文字列(デリミタ文字)を適切に取り扱えない脆弱性が見つかった。このため,以下のような問題が発生する可能性がある。
(1)特定の名前の添付ファイルを表示すると,メール・ソフトには実際とは異なるファイル名が表示される。例えば,実際のファイル名が「(Unicode文字列)foo.txt」であっても,メール・ソフトには「foo.txt」と表示される。
(2)特定の名前の添付ファイルを開くと,添付ファイルがユーザーの予期しない場所(攻撃者の意図した場所)に保存される。通常,添付ファイルが(一時)保存されるフォルダ(ディレクトリ)はメール・ソフトによって決まっているが,この問題を悪用すれば,そのフォルダ以外に置かれている重要なファイル(システム・ファイルなど)に添付ファイルを上書きさせて,既存ファイルを破壊することができる。
対策は,各ベンダーが提供する修正パッチの適用や,修正版へのアップグレード。JVNの情報によれば,現時点(5月9日午前11時現在)で影響を受けることが確認されているのは,リムアーツの「Becky!」のVer.2.22より古いバージョンや,日本コントロールシステムの「Paseri」のVer1.11.01以前のバージョンなど。
Becky!については2005年8月に公開されたVer.2.22以降で修正済み。Paseriについては2005年11月に公開されたVer 1.12で修正されている。これら以外の影響を受けるメール・ソフトや対策方法については,各ベンダーのWebサイトやJVNのページなどを参照してほしい。
◎参考資料
◆JVN#84775942 複数のメールクライアントソフトにおける,Unicodeの取り扱い不備によるディレクトリ・トラバーサルの脆弱性(JP Vendor Status Notes)
◆JVN#84775942:複数のメールクライアントソフトにおける,Unicodeの取り扱い不備によるディレクトリ・トラバーサルの脆弱性(情報処理推進機構)
