Windows用汎用コンポーネント「BASP21」に脆弱性

Windows向けのフリーの汎用コンポーネント「BASP21」に、不正なメール送信などに悪用される脆弱性が発見された。

[ITmedia]

　VBScriptやVisual Basic、EXCEL VBA WSH（Windows Scripting Host）などから利用できるフリーの汎用コンポーネント「BASP21」に、不正なメール送信などに悪用される可能性のある脆弱性が発見された。開発元のビーツーワンソフト・インコーポレイテッドでは、問題を修正した新バージョンを公開している。

　情報処理推進機構（IPA）セキュリティセンターとJPCERTコーディネーションセンター（JPCERT/CC）が運営する脆弱性情報サイト、JVN（JP Vendor Status Notes）が3月26日に明らかにした情報によると、BASP21のメール送信機能のうち、メールヘッダなどに相当する引数を処理する部分に脆弱性が存在する。

　この結果、BASP21を用いてメール機能を実装しているWebアプリケーションに対し、細工を施した入力値を渡すと、任意の宛先に対し、不正にメールを送信されてしまう可能性があるという。つまり、Webアプリケーションに設定されていない宛先や内容の電子メールが、遠隔の攻撃者によって送信されてしまうおそれがある。

　脆弱性の影響を受けるのは、BASP21 2003.0211版に含まれているbsmtp.dllおよびBASP21 Pro バージョン1,0,702,27以前。IPAやJPCERT/CCでは、BASP21の利用者に対し、最新バージョンへのアップデートを呼び掛けている。