Windows版のAIMに深刻な脆弱性

Windows版AIMでは、長い不在メッセージ(1024バイト程度)の提供により、バッファオーバーフローが引き起こされる可能性がある。米AOLは9日リリース予定のAIMの最新β版でこの脆弱性に対処する方針。

» 2004年08月10日 07時39分 公開
[ITmedia]

 インスタントメッセージング(IM)ソフトのAOL Instant Messenger(AIM)にバッファオーバーフローの脆弱性が存在するとして、8月9日、iDEFENSE、Secuniaなどのセキュリティ企業がユーザーに注意を呼び掛けた。Secuniaでは、この脆弱性の深刻度レベルを「Highly Critical」に指定している。

 Windows版AIMの「aim:」URIハンドラーに問題があり、悪用されるとリモートから任意のコードを実行される恐れがあるという。Secuniaの説明によると、長い不在メッセージ(1024バイト程度)の提供により、スタックベースのバッファオーバーフローが引き起こされる可能性がある。

 iDEFENSEでは、AIM 5.5でこの脆弱性の存在を確認済みだが、5.5以前のバージョンについても脆弱性を抱えている可能性があるとしている。

 iDEFENSEは7月半ばにこの問題を発見、ソフト開発元のAmerica Online(AOL)に報告し、パッチを用意する時間を与えるべくAOLに協力してきたが、ほかの研究者らによって同じ問題が発見され、8月9日、Secuniaがアドバイザリーを発行したため、自社も公表に踏み切ったと説明している。

 iDEFENSEのアドバイザリーによれば、米AOLは9日リリース予定のAIMの最新β版でこの脆弱性に対処し、Windows版ユーザーに同β版へのアップグレードを促す方針だという。また同アドバイザリーの中でAOLは、「この脆弱性の悪用は、AIMユーザーがIMで受け取った、またはWebページに埋め込まれた問題のあるURLをクリックした場合にのみ起こり得る」としている。

Copyright © ITmedia, Inc. All Rights Reserved.