マルチプラットフォームのインスタントメッセージング(IM)クライアント「Pidgin」(旧Gaim)など、主要IMに採用されているライブラリの「libpurple」に脆弱性が見つかった。Pidginは更新版がリリースされたが、それ以外のIMも影響を受ける可能性があるという。
セキュリティ企業Core Security Technologiesが8月18日付で公開したアドバイザリーによると、libpurpleでMSNネットワークからのメッセージ処理に使われる「msn_slplink_process_msg() 」関数に深刻な脆弱性が存在する。
この問題を突いたMSNSLPパケットをMSNサーバ経由で受信すると、リモートの攻撃者に任意のコードを実行される恐れがある。ユーザー側の操作は不要で、友達リストに登録されている必要もないという。
Libpurpleは、ユーザーが1つのアプリケーションから他社のサービスを使えるようにするもので、SANS Internet Storm CenterによればPidgin、Finch、Adium、Meebo、Gaimなど多数のIMが採用している。Pidginはバージョン2.5.9でこの脆弱性を解決したが、ほかのIMも影響を受ける恐れがあるとSANSやCore Securityは指摘している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR