Internet Watch logo
記事検索
最新ニュース

Winnyにバッファオーバーフローの脆弱性、回避策は「Winny利用の中止」

金子氏は「諸般の事情でアップデートは困難、利用は理解の上で」とコメント

 情報処理推進機構(IPA)は21日、P2Pファイル共有ソフト「Winny」にバッファオーバーフローの脆弱性が存在すると警告した。IPAでは、開発者による脆弱性の修正方法が公表されていないため、回避方法は「Winny利用の中止」であるとユーザーに呼びかけている。

 脆弱性は、Winnyに対して攻撃コードを含む悪意あるパケットを送信することで、バッファオーバーフローを引き起こすことが可能になるというもの。これにより、Winnyの動作停止の可能性があるだけでなく、一般的にバッファオーバーフローの脆弱性は任意のコードを実行される可能性があるとして、ユーザーに対する回避策として「Winny利用の中止」を呼びかけている。

 脆弱性情報を公開しているJVN(JP Vendor Status Notes)では、この脆弱性についての「製品開発者からの提供情報」として、Winnyの作者である金子勇氏のコメントを掲載。金子氏は「私自身は、諸般の都合によりWinnyのアップデートおよび脆弱性の具体的な検証が困難な状況にあります。ご利用はWinnyを十分ご理解の上でお願いします」と述べている。

 また、脆弱性を悪用した攻撃については、「現時点では具体的な攻撃方法が明らかではなく、またWinnyはさまざまな部分でチェックをしているので、私としては仮にバッファオーバーフローの脆弱性への攻撃を想定した場合でも、これによりあらゆる任意のコードが実行が可能という訳では無いと判断している」とコメントしている。


関連情報

URL
  「Winny」におけるバッファオーバーフローの脆弱性(IPA)
  http://www.ipa.go.jp/security/vuln/documents/2006/JVN_74294680_winny.html
  Winnyにおけるバッファオーバーフローの脆弱性(JVN)
  http://jvn.jp/jp/JVN%2374294680/index.html


( 三柳英樹 )
2006/04/21 19:20

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.