Windows版のAIMに深刻な脆弱性

Windows版AIMでは、長い不在メッセージ（1024バイト程度）の提供により、バッファオーバーフローが引き起こされる可能性がある。米AOLは9日リリース予定のAIMの最新β版でこの脆弱性に対処する方針。

[ITmedia]

　インスタントメッセージング（IM）ソフトのAOL Instant Messenger（AIM）にバッファオーバーフローの脆弱性が存在するとして、8月9日、iDEFENSE、Secuniaなどのセキュリティ企業がユーザーに注意を呼び掛けた。Secuniaでは、この脆弱性の深刻度レベルを「Highly Critical」に指定している。

　Windows版AIMの「aim:」URIハンドラーに問題があり、悪用されるとリモートから任意のコードを実行される恐れがあるという。Secuniaの説明によると、長い不在メッセージ（1024バイト程度）の提供により、スタックベースのバッファオーバーフローが引き起こされる可能性がある。

　iDEFENSEでは、AIM 5.5でこの脆弱性の存在を確認済みだが、5.5以前のバージョンについても脆弱性を抱えている可能性があるとしている。

　iDEFENSEは7月半ばにこの問題を発見、ソフト開発元のAmerica Online（AOL）に報告し、パッチを用意する時間を与えるべくAOLに協力してきたが、ほかの研究者らによって同じ問題が発見され、8月9日、Secuniaがアドバイザリーを発行したため、自社も公表に踏み切ったと説明している。

　iDEFENSEのアドバイザリーによれば、米AOLは9日リリース予定のAIMの最新β版でこの脆弱性に対処し、Windows版ユーザーに同β版へのアップグレードを促す方針だという。また同アドバイザリーの中でAOLは、「この脆弱性の悪用は、AIMユーザーがIMで受け取った、またはWebページに埋め込まれた問題のあるURLをクリックした場合にのみ起こり得る」としている。

共有する

プリント／アラート

オンラインムック Special

- PR -

Special

- PR -