米CERT/CCは米国時間1月24日,インスタント・メッセージ(IM)ソフト「ICQ」にバッファ・オーバーフローのセキュリティ・ホールを警告した。攻撃者は,ある特定の細工を施したリクエストをICQユーザーに送信することで,そのユーザーのパソコン上で任意のコードを実行できてしまう。対策は,最新バージョンの最新ビルドである「2001b Beta v5.18 Build #3659」にアップ・グレードすること。
ICQは,イスラエルICQ社(旧Mirabilis,現在は米AOLの傘下)が開発したIMソフト。世界中で1億2000万人以上に使用されているという。無料で使用できることが特徴。日本語版は存在しないものの,有志により日本語化パッチが公開されており,国内でのユーザーも多い。ユーザーは早急にアップグレードする必要がある。ICQ社からは,影響を受けるバージョンかどうかを確かめる方法が公開されており,同社サイトから最新ビルドをダウンロードできる。
なお,米AOL社の「AOL Instant Messenger(AIM)」にも,2月の始めに同様のセキュリティ・ホールが見つかっている。米Internet Security Systems(ISS)によると,Windows版のバージョン4.3 から 4.7.2480,および 4.8.2616(ベータ版)が影響を受ける。同社では,最新バージョンにアップグレードすることを勧めている。
◎参考資料
◆CERT Advisory CA-2002-02 Buffer Overflow in AOL ICQ(米CERT/CC)
◆Help Center(イスラエルICQ)
◆Download ICQ for Windows(イスラエルICQ)
◆AOL Instant Messenger Remote Buffer Overflow(米ISS)
