|
本誌7月28日号で、長い名前のファイルをメールに添付すると受け取り側メールソフトのメモリを破壊しセキュリティホールになる理論的可能性があるという報告を紹介した。この問題について、いくつかのメールソフトの開発者からコメントが出されているため、紹介する。
なお、過去には「『Good Times』『Penpal Greetings』という題名のメールはウィルス」というデマが流れたこともあったが、今回の件はそれとは無関係。そのようなメールが来ても無視されたい。
■Outlook Express
http://www.microsoft.com/ie/security/?/ie/security/oelong.htm
http://www.microsoft.com/security/bulletins/ms98-008.htm
http://www.microsoft.com/japan/ie/ (日本版について)
http://www.microsoft.com/presspass/press/1998/Aug98/outscrma.htm (新パッチ公開と偽パッチの警告)
7月27日にパッチ(英語版)を公開。その後7月29日に、これだけでは防げないケースもあるとアナウンス。新パッチが8月11日に公開された。なお、偽パッチがメールで送られているとも警告。
■Netscape Messenger(Communicator)
http://home.netscape.com/products/security/resources/bugs/longfile.html
2週間以内にパッチを公開するとアナウンス。それまでの対処として、添付ファイルをリンクとして表示する方法などを解説している。
■Eudora Pro
http://eudora.qualcomm.com/press/ (英語版)
http://www.kuni.co.jp/security.html (日本語版)
影響を受けないとアナウンス(英語版)。日本語版も、影響はないと思われるがチェック中、とアナウンス。
■Becky!
http://www.rimarts.co.jp/bbs_becky/view.cgi?3886
http://www.rimarts.co.jp/bbs_becky/index.html
サポート掲示板で、影響はないと思われる、とアナウンス。
■AL-Mail
http://www.almail.com/news.html#longfiletag
http://www.almail.com/longfiletag.html
影響はないと思われる、とアナウンス。
■WeMail
http://www.mesh.ne.jp/qsc/ntes/WeMail/faq.html
影響はないと思われる、とアナウンス。
■Datula
http://hp.vector.co.jp/authors/VA012699/MIMEBufferOverflow.txt
影響はないと思われる、とアナウンス。
■akira32Gold
http://www.tg.rim.or.jp/~khf07113/echo.cgi?filename=ak32g.html&counter=countakg
影響はないとアナウンス。
■Winbiff
http://www.orangesoft.co.jp/Winbiff20/
対策版2.11 PL1を8月11日に公開。
■MUSASHI
http://www.sonosoft.com/musashi/patches.jpn.html
2.2.2への対策パッチを8月14日に公開。
■sendmail
http://www.sendmail.com/sendmail.8.9.1a.html
問題のあるメールを配送中に対処する機能を持つ8.9.1aを公開。
■参考:CERT Advisory CA-98.10
http://www.cert.org/advisories/CA-98.10.mime_buffer_overflows.html
セキュリティ調査機関CERTによる報告。各ベンダーの対応がまとめられている。
('98/7/30)
[Reported by masaka@impress.co.jp]