エンタープライズ:ニュース 2002/10/11 16:31:00 更新


Outlook Expressにバッファオーバーランのバグ再び

Outlook Expressにバッファオーバーランを引き起こすバグが報告され、修正プログラムが発表された。至急アップデートパッチを当ててほしい。

 マイクロソフトは10月11日、Outlook ExpressのS/MIMEコントロールに脆弱性があり、バッファオーバーランをひき起こす可能性があると発表した。

 Outlook ExpressはS/MIMEによるデジタル署名をサポートしている。ところが、デジタル署名に関連して、ある種のエラーが生じる場合の警告メッセージを生成するコードに、バッファオーバーランの脆弱性が含まれていた。デジタル署名されたメールに、そのようなエラーを起こすデータが含まれていると、メールを開くかプレビューするだけで、以下の2つの現象が引き起こされるという。ひとつはOutlook Expressの異常終了だが、この場合は該当のメールを削除すれば、正常に利用できるようになる。ただしもうひとつの、攻撃者が選んだ任意のコードを、ターゲットのマシン上で起動できるようになってしまう点は問題だ。最悪の場合はハードディスクがフォーマットされるなど、ユーザーの意図しないプログラムが動作してしまうからだ。

 対象となるアプリケーションは、Outlook Expressのバージョン6とバージョン5.5となっている。該当ユーザーは下記のリンクからアップデートを行ってほしい。ただし、Internet Explorer Service Pack1(WindowsXP Service Pack1にも含まれる)を導入している場合は、この脆弱性についてのエラーは修正されている。

関連リンク
▼Microsoft Outlook Express 6修正プログラム
▼Microsoft Outlook Express 5.5修正プログラム
▼MS02-058: Outlook Express の S/MIME 解析の未チェックのバッファによりシステムが侵害される

[ITmedia]