『AOL Instant Messenger』に重大な脆弱性

この記事のURLhttp://japan.internet.com/webtech/20040810/12.html

Time Warner (NYSE:TWX) の子会社 America Online (AOL) の主力 IM プラットフォーム『AOL Instant Messenger (AIM)』に、システム乗っ取りにつながる重大なバッファオーバフロー脆弱性が存在するとして、複数のセキュリティ会社が9日に警告を発した。

同脆弱性は、「不在通知」設定機能の悪用を許すもので、セキュリティ会社 iDefense が最初に発見した。またセキュリティ会社 Secunia もセキュリティ勧告を発表しており、同脆弱性の危険度を5段階中上から2番目としている。

AOL 広報の Andrew Weinstein 氏は、同脆弱性について AIM のバージョン5.5および以前のバージョンで悪用の可能性があることを認めた。同社は、今週中にセキュリティ修正版をリリースする予定だ。なお iDefense の情報ではバージョン5.5が脆弱性を持つことを確認しており、5.5以前の版についても疑わしいとしている。

iDefense はセキュリティ勧告の中で「同脆弱性は、AOL Instant Messenger が『aim:』で始まる URI を処理する部分で、『goaway』関数に渡る不在メッセージの長さチェックに問題があるため生じる。メッセージが長すぎると、メモリのスタック領域を上書きし、構造化例外処理 (Structured Exception Handler) 関連のポインタが書き換わるために、悪用のおそれがある」と述べている。

iDefense は同脆弱性について7月12日に AOL へ通知しており、同社のセキュリティ勧告公開の通例から、問題解決を待って情報公開するはずだったが、Secunia が AOL に報告したものの応答が無かったと記したセキュリティ勧告を公開したため、iDefense も急遽情報を公開した格好となった。

Weinstein 氏は、「iDefense がわれわれに報告したのが1か月前のことだ。われわれは、責任をもって iDefense とともに問題の解決にあたっている」と述べた。

また同氏は、ユーザーが IM クライアント利用中に、危険な URL をクリックしない限り脆弱性の悪用はできないと強調した。「われわれは常々、IM メッセージ内のリンクをクリックする際は注意するよう、ユーザーに警告している」と Weinstein 氏は語った。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。