ニュース
» 2006年04月21日 17時52分 UPDATE

Winnyにバッファオーバーフローの脆弱性、回避策は「利用の中止」のみ

P2Pファイル共有ソフト「Winny」に、バッファオーバーフローの脆弱性が存在することが明らかになった。回避策はWinny利用を中止すること。

[高橋睦美,ITmedia]

 P2Pファイル共有ソフト「Winny」に、バッファオーバーフローの脆弱性が存在することが4月21日明らかになった。

 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が運営する脆弱性情報公開サイト、JVN(JP Vendor Status Notes)によると、Winny 2.0 b7.1およびそれ以前の通信処理に脆弱性が存在する。細工を施されたパケットを受け取るとにバッファオーバーフローが発生し、Winnyが異常終了する可能性がある。米eEye Digital Securityの鵜飼裕司氏が発見し、IPAに問題を報告した。

 開発者による脆弱性への根本的な対策(パッチや新バージョンなど)は存在しないため、Winnyの利用を停止することが回避策となる。

 JPCERT/CCによると、設定の変更などによる回避策は確認されていない。

 またWinny作者の金子勇氏は、JVNの情報の中で「諸般の都合により、Winnyのアップデートおよび脆弱性の具体的な検証が困難な状況にある」とコメントしている。

 JVNではこれまで、「情報セキュリティ早期警戒パートナーシップ」に基づき、基本的に対策が準備された後に脆弱性情報を掲載してきた。しかし今回のWinnyの脆弱性については、対策が存在しないままの情報公開となる。金子氏本人、あるいは第三者によるパッチの提供が、著作権違反の幇助、もしくは幇助の幇助になる可能性があるためだ。

 なおJPCERT/CCによると、この脆弱性を悪用した実証コードや攻撃などの情報は確認されていない。

 また、一般にバッファオーバーフローの脆弱性は、システムを停止(DoS)状態に陥れるだけでなく、任意のソフトウェア(悪意あるソフトウェアも含む)が実行される可能性がある。これに対し金子氏は、Winnyについてはさまざまな部分でチェックをしているため、「仮に仮にバッファーオーバーフローの脆弱性への攻撃を想定した場合でも、これによりあらゆる任意のコードが実行が可能という訳では無いと判断」しているという。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ