『Blackberry』の脆弱性情報は大げさ、RIM が反論

セキュリティ勧告の微妙な違いを巡って、2つの会社の間で応酬があった。ことの始まりは、情報セキュリティ会社 HexView が12日、Research In Motion (NASDAQ:RIMM) の人気ハンドヘルド端末『Blackberry』に関して出したセキュリティ勧告だ。RIM がそれに反論する形のサポート情報を公開し、HexView は14日、訂正を含む新しいセキュリティ勧告を出した。

HexView が最初に出した勧告は、Blackberry にバッファオーバーフローなどの脆弱性が存在し、データ消失やサービス不能化 (DoS) 攻撃を招く恐れがあると指摘していた。また、『Microsoft Outlook』を使って長い文字列 (128K 以上) を持った会議招集メッセージを送信することによって、問題を「容易に再現できる」とも述べていた。

その勧告には次のように書いてあった。「Blackberry は自動通知する際に再起動する。ユーザー操作が介在する必要もない。ユーザーの受信箱にこの種のメッセージを多数並べることにより、Blackberry 端末を全く役立たずの状態に陥らせることができる」

この勧告を見た RIM は、独自のサポート情報を公開した。

RIM の分析によると、バッファオーバーフロー、スタック破壊、データ消失、悪意あるコードの侵入といった危険があるとの HexView の指摘は正しくないといい、次のように述べている。「現在のところ、わが社は、この問題が実際に悪用されているという報告を顧客から1件も受けていない」

同社は、HexView の勧告について、一部は正しいと認めた。しかし、問題の脆弱性の影響を受けるのは BlackBerry ソフトウェアのバージョン3.7だけであり、バージョン3.8以降ではすでに修正済みだと強調している。

RIM 広報担当 Lauren Doherty 氏は取材に対し、次のように述べた。「端的に言えば、端末リセットが起きかねない不具合はあった。しかし、それはすでに修正済みだし、顧客からも問題があったという連絡が全く無く、セキュリティ問題は何も無かった」

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール