■URL
http://www.ciac.org/ciac/bulletins/i-077a.shtml (CIAC)
http://www.microsoft.com/security/bulletins/ms98-008.htm (MSレポート)
http://www.microsoft.com/ie/security/?/ie/security/oelong.htm (Outlook Expressパッチ)
http://home.netscape.com/download/su1.html (Smart Update)
セキュリティに関する調査・報告を行なっている米CIACは、Microsoft製のメールソフト「Outlook Express」(Internet Explorerに付属)や「Outlook 98」、Netscape製のメールソフト「Netscape Messenger」(Netscape Communicatorに内蔵)のセキュリティホールについて報告した。
このセキュリティホールは「Buffer Overrun問題」と呼ばれるタイプのもので、非常に長い名前のファイルを添付して相手のメールソフトのメモリを破壊し、プログラムを送り込むというもの。フィンランドOUSPGグループが6月に発見したもので、現在のところ実際の悪用例はないという。
Microsoftではこの問題に対し、Outlook Express英語版の対策パッチを公開。IE 4.0や4.01、4.01SP1付属のOutlook Express用パッチ(Windows 98/95/NTおよびDEC Alpha版Windows NT)がリリースされている。Macintosh版やUNIX版のOutlook Expressでも起こる可能性があるが、Windows 3.1、NT 3.51などではこの問題は起こらないという。日本語版など他の言語版や、Macintosh版、UNIX版は近日公開予定。
また、Netscapeは対策を施したNetscape Communicator 4.06や、Smart Updateによる対策パッチを8月7日頃に公開予定。
('98/7/28)
[Reported by masaka@impress.co.jp]