マイクロソフトは、Microsoft Outlook Express 5.5/6.0の特定エラー時にバッファオーバーランの可能性があり、攻撃者に任意の操作が行なわれてしまうことがあると発表した。修正プログラムも公開され、同社のWebサイトから無償でダウンロードできる。
Outlook Expressでは、S/MIMEのデジタル署名がサポートされるが、そこに特定エラーが発生した場合に警告メッセージを生成するコードにバッファオーバーランの脆弱性があるという。そのため、攻撃者が特定のデータを組み込んだメールをOutlook Expressのユーザーに送信することで、バッファオーバーランの可能性が生じOutlook Expressを異常終了させたり、すべての任意の操作が行なわれる恐れがあるという。
この問題が確認されたOutlook Expressのバージョンは5.5と6.0。それ以前のバージョンは現在サポート対象となっていないため、この問題による影響は不明だという。
なお、修正プログラムは5.5と6.0用が用意されるが、6.0の修正プログラムはすでに公開されているOutlook Express 6.0 Service Pack 1に含まれる。また、5.5用の修正プログラムはOutlook Express 5.5 Service Pack 2を実行したシステムに適用できる。
□マイクソフト セキュリティ情報(MS02-058)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-058.asp
囗Microfost TechNet
http://www.microsoft.com/japan/technet/
囗マイクロソフト
http://www.microsoft.com/japan/
(正田拓也)
2002/10/11 19:57
|