ITmedia NEWS >

IM向けライブラリに深刻な脆弱性、多数製品に影響の恐れ

» 2009年08月21日 07時52分 公開
[ITmedia]

 マルチプラットフォームのインスタントメッセージング(IM)クライアント「Pidgin」(旧Gaim)など、主要IMに採用されているライブラリの「libpurple」に脆弱性が見つかった。Pidginは更新版がリリースされたが、それ以外のIMも影響を受ける可能性があるという。

 セキュリティ企業Core Security Technologiesが8月18日付で公開したアドバイザリーによると、libpurpleでMSNネットワークからのメッセージ処理に使われる「msn_slplink_process_msg() 」関数に深刻な脆弱性が存在する。

 この問題を突いたMSNSLPパケットをMSNサーバ経由で受信すると、リモートの攻撃者に任意のコードを実行される恐れがある。ユーザー側の操作は不要で、友達リストに登録されている必要もないという。

 Libpurpleは、ユーザーが1つのアプリケーションから他社のサービスを使えるようにするもので、SANS Internet Storm CenterによればPidgin、Finch、Adium、Meebo、Gaimなど多数のIMが採用している。Pidginはバージョン2.5.9でこの脆弱性を解決したが、ほかのIMも影響を受ける恐れがあるとSANSやCore Securityは指摘している。

過去のセキュリティニュース一覧はこちら

Copyright © ITmedia, Inc. All Rights Reserved.