トランスウェアのWebメールに複数の脆弱性、アップデートが公開

トランスウェアのWebメール「Active! mail 2003」に、なりすましや情報漏えいにつながる恐れのある複数の脆弱性が見つかった。

» 2009年12月08日 19時05分 公開
[ITmedia]

 情報処理推進機構とJPCERTコーディネーションセンターは12月8日、トランスウェアのWebメール「Active! mail 2003」に複数の脆弱性が見つかったとして、情報を公開した。

 脆弱性は、クロスサイトスクリプティング(XSS)とセッションID、cookieの漏えいの3件。いずれもActive! mail 2003 Build 2003.0139.0871以前に存在するもので、セッションIDの漏えいは同Buildでモバイル機能を有効にしている場合に影響を受ける。また、Cookieが漏えいする脆弱性はBuild 2003.0139.0911およびBuild 2003.0139.0938で設定ファイル「system.cfg」が未修正のものも含まれ、SSL環境で利用している場合に影響を受けるという。

 これらの脆弱性が悪用された場合、ユーザーのブラウザ上で任意のスクリプトを実行されてしまうほか、リモートの第三者がユーザーになりすまして、メールを閲覧したり、設定を変更したりできてしまう可能性がある。

 トランスウェアは7日付けで対応策を公開し、これらの脆弱性を解消した最新版のBuild 2003.0139.0939へのバージョンアップを促している。なお、Cookieが漏えいする脆弱性は、system.cfgを修正することでも対処できるとしている。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

関連ホワイトペーパー

脆弱性 | Webメール


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ