速報
» 2006年02月11日 07時44分 UPDATE

Lotus Notesに極めて深刻な脆弱性

Secuniaによると、IBMのLotus Notesに深刻な脆弱性が6件存在し、悪用されるとセキュリティ制限を回避されたり、ユーザーのシステムを制御されてしまう恐れがある。

[ITmedia]

 セキュリティ企業のSecuniaは2月10日、IBMのLotus Notesに「極めて深刻」な複数の脆弱性を発見したとして、アドバイザリーを公開した。悪用されるとセキュリティ制限を回避されたり、ユーザーのシステムを制御されてしまう恐れがあるという。

 影響を受けるのはLotus Notes 6.x/7.x。問題を修正したバージョン6.5.5/7.0.1がIBMからリリースされており、適用を呼び掛けている。

 Secuniaが報告している6件の問題のうち、kvarcve.dllの境界エラー問題は、ZIPアーカイブで圧縮ファイルの存在をチェックする際に発生し、これを突かれるとスタックベースのオーバーフローを誘発する恐れがある。ユーザーがNotesの添付ビュワーで過度に長いファイル名が付いた圧縮ファイルを解凍すると、任意のコードを実行される可能性がある。

 また、電子メールのHTML添付ファイル参照に使われるHTMLスピードリーダー(htmsr.dll)に境界エラーが存在し、「http」などで始まる過度に長いリンクを含んだ悪質な電子メールを参照させることで、スタックベースのバッファオーバーフローを誘発できてしまう。これを悪用されるとLotus Notesを実行しているユーザーの権限で任意のコードを実行できてしまうという。

 IBMでは、攻撃者がこれら脆弱性を悪用するためには、細工を施した添付ファイルをユーザーに送りつけ、ユーザーがこれをダブルクリックして参照する必要があると指摘。問題を回避するためにビュワーの機能を停止する方法を紹介している。

 これとは別にSecuniaは、Lotus Domino iNotes Clientに存在するスクリプト挿入攻撃の脆弱性についても報告。こちらの危険度は「中」程度となっており、バージョン6.5.5/7.0.1へのアップデートで修正できる。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -