Lotus Notesに極めて深刻な脆弱性
Secuniaによると、IBMのLotus Notesに深刻な脆弱性が6件存在し、悪用されるとセキュリティ制限を回避されたり、ユーザーのシステムを制御されてしまう恐れがある。
セキュリティ企業のSecuniaは2月10日、IBMのLotus Notesに「極めて深刻」な複数の脆弱性を発見したとして、アドバイザリーを公開した。悪用されるとセキュリティ制限を回避されたり、ユーザーのシステムを制御されてしまう恐れがあるという。
影響を受けるのはLotus Notes 6.x/7.x。問題を修正したバージョン6.5.5/7.0.1がIBMからリリースされており、適用を呼び掛けている。
Secuniaが報告している6件の問題のうち、kvarcve.dllの境界エラー問題は、ZIPアーカイブで圧縮ファイルの存在をチェックする際に発生し、これを突かれるとスタックベースのオーバーフローを誘発する恐れがある。ユーザーがNotesの添付ビュワーで過度に長いファイル名が付いた圧縮ファイルを解凍すると、任意のコードを実行される可能性がある。
また、電子メールのHTML添付ファイル参照に使われるHTMLスピードリーダー(htmsr.dll)に境界エラーが存在し、「http」などで始まる過度に長いリンクを含んだ悪質な電子メールを参照させることで、スタックベースのバッファオーバーフローを誘発できてしまう。これを悪用されるとLotus Notesを実行しているユーザーの権限で任意のコードを実行できてしまうという。
IBMでは、攻撃者がこれら脆弱性を悪用するためには、細工を施した添付ファイルをユーザーに送りつけ、ユーザーがこれをダブルクリックして参照する必要があると指摘。問題を回避するためにビュワーの機能を停止する方法を紹介している。
これとは別にSecuniaは、Lotus Domino iNotes Clientに存在するスクリプト挿入攻撃の脆弱性についても報告。こちらの危険度は「中」程度となっており、バージョン6.5.5/7.0.1へのアップデートで修正できる。
関連記事
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.