japan.internet.comThe Internet & IT Network
Twitter
RSS
  • ニュース
  • コラム
  • リサーチ
  • ヘッドライン
  • 特集
  • ブログ
  • プレスリリース
  • 専門チャンネル
  • イベント
  • ランキング
  • ニュースメール
2009年11月7日
文字サイズ文字サイズ小文字サイズ中文字サイズ大
任天堂が、大画面の「ニンテンドーDSi LL」を発表。欲しいと思いますか?
欲しい
欲しいと思わない
他のDS製品を持っているが欲しい
他のDS製品を持っているのでいらない
投票締切 11/9 12:00
Webテクノロジー2004年8月10日 00:00

『AOL Instant Messenger』に重大な脆弱性

海外海外internet.com発の記事
  • Post to Twitter
  • Post to Facebook
  • このエントリーを含むはてなブックマーク
  • この記事をクリップ!
  • Buzzurlにブックマーク
  • Yahoo!ブックマークに登録
  • newsing it!
  • この記事をokyuuへインポート
Time Warner (NYSE:TWX) の子会社 America Online (AOL) の主力 IM プラットフォーム『AOL Instant Messenger (AIM)』に、システム乗っ取りにつながる重大なバッファオーバフロー脆弱性が存在するとして、複数のセキュリティ会社が9日に警告を発した。

同脆弱性は、「不在通知」設定機能の悪用を許すもので、セキュリティ会社 iDefense が最初に発見した。またセキュリティ会社 Secunia もセキュリティ勧告を発表しており、同脆弱性の危険度を5段階中上から2番目としている。

AOL 広報の Andrew Weinstein 氏は、同脆弱性について AIM のバージョン5.5および以前のバージョンで悪用の可能性があることを認めた。同社は、今週中にセキュリティ修正版をリリースする予定だ。なお iDefense の情報ではバージョン5.5が脆弱性を持つことを確認しており、5.5以前の版についても疑わしいとしている。

iDefense はセキュリティ勧告の中で「同脆弱性は、AOL Instant Messenger が『aim:』で始まる URI を処理する部分で、『goaway』関数に渡る不在メッセージの長さチェックに問題があるため生じる。メッセージが長すぎると、メモリのスタック領域を上書きし、構造化例外処理 (Structured Exception Handler) 関連のポインタが書き換わるために、悪用のおそれがある」と述べている。

iDefense は同脆弱性について7月12日に AOL へ通知しており、同社のセキュリティ勧告公開の通例から、問題解決を待って情報公開するはずだったが、Secunia が AOL に報告したものの応答が無かったと記したセキュリティ勧告を公開したため、iDefense も急遽情報を公開した格好となった。

Weinstein 氏は、「iDefense がわれわれに報告したのが1か月前のことだ。われわれは、責任をもって iDefense とともに問題の解決にあたっている」と述べた。

また同氏は、ユーザーが IM クライアント利用中に、危険な URL をクリックしない限り脆弱性の悪用はできないと強調した。「われわれは常々、IM メッセージ内のリンクをクリックする際は注意するよう、ユーザーに警告している」と Weinstein 氏は語った。

  • プリンター用
  • 記事を転送
  • Post to Twitter
  • Post to Facebook
  • このエントリーを含むはてなブックマーク
  • この記事をクリップ!
  • BuzzurlにブックマークBuzzurlにブックマーク
  • Yahoo!ブックマークに登録
  • newsing it!
  • この記事をokyuuへインポート
最新トップニュース
プライバシー ジャパン・インターネットコム版
【プライバシー ジャパン・インターネットコム版】
認証がオンラインビジネスの鍵である理由(11月4日)
Copyright 2009 Japan Internet.com K.K. All Rights Reserved.http://www.internet.com/