『AIM』に新たな脆弱性、AOL は対応済みと主張

オンラインの脆弱性のなかでもっとも危険なものは、おそらく、ユーザーが何もしなくても影響を受けてしまうものだろう。セキュリティ研究者たちの指摘によれば、AOL の人気インスタントメッセージ (IM) クライアント『AIM』が、まさにそうしたタイプの脆弱性にさらされているという。

セキュリティ企業 Core Security Technologies の発表した勧告によれば、『AIM 6.1』(および『AIM 6.2』ベータ版) と『AIM Pro』『AIM Lite』は、AIM ユーザーが何の操作を行なわなくても、コンピュータ上でコードを遠隔実行されるおそれがあるという。この脆弱性は、数百万人の AIM ユーザーに影響を与える可能性がある。

イスラエル人セキュリティ研究者の Aviv Raff 氏も、いまだ対応すべき問題が残されていて、ユーザーが危険にさらされていることを、自身の Blog で指摘している。

AOL の広報担当者は取材に対して、Raff 氏と Core Security が指摘したサーバー側の既知の脆弱性については、すでに対応済みだと語った。既知の問題を解決した AIM クライアントの新版は、来週リリースされる予定だ。

National Vulnerability Database によれば、Core Security の発見した脆弱性は、「『呼び出し側のウィンドウがフォーカスを失っている』場合、不特定の手段により、リモートから任意の HTML を通知ウィンドウに記述することが可能になる」という。

根本的な原因は、AIM での HTML 処理や、このケースのようなコードの実行を可能にする、Microsoft の『Internet Explorer』(IE) のダイナミックリンク ライブラリ (DLL) にあることがわかっている。

Core Security の CTO (最高技術責任者) Ivan Arce 氏によれば、同社がこの脆弱性を見つけたのは偶然だったという。同氏は取材に対し、ある Core Security の研究者が AIM を使っていたところ、AIM のなかで IE オブジェクトが使われていることに気づいたと説明した。その研究者は、IE が AIM に埋め込まれているなら、『ActiveX』コントロールなどの IE の機能も作動するのではないかと推測し、最終的にはそれが正しいことを確認した。

AOL によれば、この問題については、AIM サーバーでホスト側のフィルタリングを導入し、AIM クライアントに送られる悪質なコンテンツをブロックすることで対応しているという。

しかし、Arce 氏は、そうした措置は必ずしも完全な解決策とは言えないとの見解を示している。

「確かに対応はしているが、サーバーでのフィルタリングではこの問題を解決したことにはならない。バグを取り除いたわけではないからだ。正しい対応策とは、バグが存在しないようにすることだ」と Arce 氏は主張している。