Winnyに新たな脆弱性見つかる、回避策は「利用しないこと」

　独立行政法人情報処理推進機構（IPA）と一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は20日、ファイル共有ソフト「Winny」に4件の脆弱性が見つかったとして警告した。IPAでは、開発者による対策の提供予定はないため、回避方法は「Winnyを利用しないこと」とユーザーに呼びかけている。

　今回見つかったのは、バッファオーバーフローの脆弱性が2件、ノード情報の処理に関する脆弱性、BBS情報の処理に関する脆弱性の合計4件。いずれも影響を受けるのは、Winny 2.0b7.1 およびそれ以前のバージョン。

　バッファオーバーフローの脆弱性は、悪用されると遠隔の第三者によって任意のコードを実行される恐れがある。ノード情報とBBS情報の処理に関する脆弱性は、遠隔の第三者によるDDoS攻撃に悪用される可能性がある。

　Winny開発者の金子勇氏は、著作権法違反ほう助の刑事事件で係争中のため、現時点では脆弱性が修正される予定はないという。このためIPAは、Winnyの使用停止を呼びかけている。

　なお、2006年4月にもWinnyにバッファオーバーフローの脆弱性が発見されたが、今回見つかった脆弱性とは問題が異なる。