『AOL Instant Messenger』に重大な脆弱性

Time Warner (NYSE:TWX) の子会社 America Online (AOL) の主力 IM プラットフォーム『AOL Instant Messenger (AIM)』に、システム乗っ取りにつながる重大なバッファオーバフロー脆弱性が存在するとして、複数のセキュリティ会社が9日に警告を発した。

同脆弱性は、「不在通知」設定機能の悪用を許すもので、セキュリティ会社 iDefense が最初に発見した。またセキュリティ会社 Secunia もセキュリティ勧告を発表しており、同脆弱性の危険度を5段階中上から2番目としている。

AOL 広報の Andrew Weinstein 氏は、同脆弱性について AIM のバージョン5.5および以前のバージョンで悪用の可能性があることを認めた。同社は、今週中にセキュリティ修正版をリリースする予定だ。なお iDefense の情報ではバージョン5.5が脆弱性を持つことを確認しており、5.5以前の版についても疑わしいとしている。

iDefense はセキュリティ勧告の中で「同脆弱性は、AOL Instant Messenger が『aim:』で始まる URI を処理する部分で、『goaway』関数に渡る不在メッセージの長さチェックに問題があるため生じる。メッセージが長すぎると、メモリのスタック領域を上書きし、構造化例外処理 (Structured Exception Handler) 関連のポインタが書き換わるために、悪用のおそれがある」と述べている。

iDefense は同脆弱性について7月12日に AOL へ通知しており、同社のセキュリティ勧告公開の通例から、問題解決を待って情報公開するはずだったが、Secunia が AOL に報告したものの応答が無かったと記したセキュリティ勧告を公開したため、iDefense も急遽情報を公開した格好となった。

Weinstein 氏は、「iDefense がわれわれに報告したのが1か月前のことだ。われわれは、責任をもって iDefense とともに問題の解決にあたっている」と述べた。

また同氏は、ユーザーが IM クライアント利用中に、危険な URL をクリックしない限り脆弱性の悪用はできないと強調した。「われわれは常々、IM メッセージ内のリンクをクリックする際は注意するよう、ユーザーに警告している」と Weinstein 氏は語った。