Winnyにバッファオーバーフローの脆弱性、回避策は「利用の中止」のみ

P2Pファイル共有ソフト「Winny」に、バッファオーバーフローの脆弱性が存在することが明らかになった。回避策はWinny利用を中止すること。

[高橋睦美，ITmedia]

　P2Pファイル共有ソフト「Winny」に、バッファオーバーフローの脆弱性が存在することが4月21日明らかになった。

　情報処理推進機構（IPA）とJPCERTコーディネーションセンター（JPCERT/CC）が運営する脆弱性情報公開サイト、JVN（JP Vendor Status Notes）によると、Winny 2.0 b7.1およびそれ以前の通信処理に脆弱性が存在する。細工を施されたパケットを受け取るとにバッファオーバーフローが発生し、Winnyが異常終了する可能性がある。米eEye Digital Securityの鵜飼裕司氏が発見し、IPAに問題を報告した。

　開発者による脆弱性への根本的な対策（パッチや新バージョンなど）は存在しないため、Winnyの利用を停止することが回避策となる。

　JPCERT/CCによると、設定の変更などによる回避策は確認されていない。

　またWinny作者の金子勇氏は、JVNの情報の中で「諸般の都合により、Winnyのアップデートおよび脆弱性の具体的な検証が困難な状況にある」とコメントしている。

　JVNではこれまで、「情報セキュリティ早期警戒パートナーシップ」に基づき、基本的に対策が準備された後に脆弱性情報を掲載してきた。しかし今回のWinnyの脆弱性については、対策が存在しないままの情報公開となる。金子氏本人、あるいは第三者によるパッチの提供が、著作権違反の幇助、もしくは幇助の幇助になる可能性があるためだ。

　なおJPCERT/CCによると、この脆弱性を悪用した実証コードや攻撃などの情報は確認されていない。

　また、一般にバッファオーバーフローの脆弱性は、システムを停止（DoS）状態に陥れるだけでなく、任意のソフトウェア（悪意あるソフトウェアも含む）が実行される可能性がある。これに対し金子氏は、Winnyについてはさまざまな部分でチェックをしているため、「仮に仮にバッファーオーバーフローの脆弱性への攻撃を想定した場合でも、これによりあらゆる任意のコードが実行が可能という訳では無いと判断」しているという。