米AOLはインスタントメッセージング(IM)ソフト「AOL Instant Messenger」(AIM)のアップデート版となるバージョン6.5をリリースした。セキュリティ研究者が指摘していた深刻な脆弱性に対処した模様だ。
脆弱性はバージョン6.1と6.2に存在し、攻撃者が悪質なHTMLコンテンツをIMメッセージの一部として送りつけることで、ユーザーが何も操作しなくてもリモートから任意のコマンドを実行される恐れがあると指摘されていた。
AOLのAIM 6.5ダウンロードサイトでは、この脆弱性に関する情報は掲載していない。しかし、問題を指摘していたセキュリティ研究者は10月14日付の「Aviv Raff On .NET」ブログで、AIM 6.5を検証し問題が修正されているのを確認したと報告している。
ただ、特定の攻撃方法には対処されたものの、別の方法でメッセージにスクリプトを挿入する方法を見つければ、任意のコードを実行される可能性はまだ残っているとも分析。AOLがクライアントを「適切に」修正するまでは、コンセプト実証コードの公開は控えると述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR