米Cerulean Studiosは,インスタント・メッセージング(IM)ソフトウエアのセキュリティ修正版「Trillian 3.1.6.0」を公開した。Ceruleanが米国時間6月18日に,同社の公式ブログへの投稿で明らかにしたもの。同社はWebサイトで修正版バイナリを提供している。
Trillianに存在していたセキュリティ・ホールは,米VeriSignのiDefense LabsがCeruleanに報告した。iDefense Labsの情報によると,Trillian 3.xはUTF-8コードによるテキストをワード・ラップ処理する際,ヒープ領域のオーバフローを起こすことがあるという。このセキュリティ・ホールのため,ユーザーがTrillianで特殊なメッセージを読むだけで,悪質なコードを遠隔実行される恐れがある。
TrillianはIRC,ICQ,AOL Instant Messenger(AIM),MSN Messengerなど複数のIMプロトコルに対応しており,iDefense Labsは「このセキュリティ・ホールをMSNプロトコルで悪用する攻撃を確認した」という。ただし,iDefense Labsは「Trillianの対応している全IMプロトコルで,同様の攻撃が可能」と指摘した。
Cerulean Studiosは,Trillianの全ユーザーに対して修正版へのアップデートを呼びかけている。既存ユーザーには,Trillianを再起動すると自動アップデート通知が届く。
[発表資料へ]
