「AOL Instant Messenger」に危険な脆弱性

問題を悪用されると、ユーザーが何も操作しなくても任意のコードを実行される恐れがあるという。

» 2007年09月27日 07時01分 公開
[ITmedia]

 AOLのインスタントメッセージング(IM)ソフト「AOL Instant Messenger」(AIM)に、ユーザーが何も操作しなくても任意のコードを実行される恐れがある危険な脆弱性が見つかった。

 この問題を発見したセキュリティ企業Core Security Technologiesが9月25日付で公開したアドバイザリーによると、脆弱性が存在するのはAIM 6.1とβ版の6.2、企業向けの「AIM Pro」、軽量版の「AIM Lite」。

 これらIMクライアントには、HTMLコンテンツを処理するためにInternet Explorer(IE)サーバコントロールが組み込まれているが、悪質コンテンツのチェックが不適切なことが原因で、攻撃者が悪質なHTMLコンテンツをIMメッセージの一部として送りつけ、IEの脆弱性を直接悪用したり、IEのセキュリティ設定の弱点を突くことができてしまうという。

 この問題を悪用されると、ユーザーが何も操作しなくても、リモートから任意のコマンドを実行される恐れがある。通常はユーザーに特定のURLをクリックさせなければ悪用できないIEの脆弱性を、ユーザーが何も操作しなくても悪用できてしまうほか、組み込みHTMLを使ったクロスサイトリクエストフォージェリ(CSRF)攻撃や、token/cookie操作も可能になるという。

 Core Security Technologiesはこの問題をAOLに通報、AOLでは悪質コンテンツがAIMクライアントに送られるのを防ぐため、AIMサーバにホストサイドフィルタを導入したという。

 この脆弱性は、最新βのAIM 6.5(6.5.3.12)では修正されているとCore Security Technologiesは指摘していた。しかし別のセキュリティ研究者のブログ「Aviv Raff On .NET」は25日付でこの問題の検証結果を報告。コンセプト実証コードに少し手を加えたところ、AIM 6.5.3.12でも問題を悪用できてしまったと伝え、AOLのフィルタ措置では脆弱性は修正されていないと分析している。

 AOLはこの指摘に対し、β版でも問題が修正されていないことを認め、10月半ばにパッチをリリースする予定だと返信してきたという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ