～メールアドレスやプライバシー漏えいが発生する可能性も

Becky!に受信者の意図しないメールが送信できる脆弱性

■URL
http://www.rimarts.co.jp/becky-j.htm
http://www.shadowpenguin.org/cgi/forum/tech/penguinbbs.cgi (脆弱性を発見したUNYUN氏のWebサイト)

脆弱性を発見したUNYUN氏のWebサイト

　メールクライアント「Becky!」を開発提供しているRimArtsは3日、「Becky! Ver.2.05.10」以前のすべてのバージョンに受信者の意図しないメールが送信できる脆弱性があると発表し、問題を修正したバージョン2.05.11を公開した。現在同社Webサイト上からダウンロードできる。

　この脆弱性は、Becky!独自のmailtoプロトコルの拡張により、悪意のある送信者により、受信者の意図しないメールを送信することが可能になるというもの。この脆弱性を悪用し、特殊な「mailto:タグ」を指定することで、ローカルファイルを添付させて強制的に送信させることができるという。

　実際には、ブラウザーのフォルダオプションにあるファイルタイプ指定で「mailto:プロトコルのOpenアクション」をBeckyに変更している場合、以下のような問題が発生する可能性がある。

• 既知のパスに存在するローカルファイルが漏洩する
• メールアドレスなどのプライバシー情報が漏洩する
• 大量メール送信（スパムやメールボム等）の加害者となり得る

　対策方法は、RimArtsが提供している最新バージョン「Becky! Ver.2.05.11」にアップデートすることが推奨される。

　また、この脆弱性を発見したA.D.200X代表のUNYUN氏は、「何年もBeckyを愛用しているが、このようなmailtoプロトコルの独自拡張がなされていたとは正直驚いた。この問題は非常に簡単に悪用できてしまうため、影響を受ける可能性のあるユーザーは直ちに修正版のバージョン2.05.11をインストールすべきだ」とコメントしている。

◎関連記事
■常時接続時代のセキュリティ

(2003/5/6)

[Reported by otsu-j@impress.co.jp]