IBM、「Lotus Notes」のパッチをリリース--複数の「非常に重大」な脆弱性に対応

文:Dawn Kawamoto(CNET News.com)
翻訳校正:河部恭紀、尾本香里(編集部)
2006年02月13日 20時33分
  • このエントリーをはてなブックマークに追加

 IBMが、「Lotus Notes」に存在する、複数の「非常に重大」なセキュリティ脆弱性を修正するパッチを公開した。攻撃者は、ユーザーにNotesに付属する添付ファイルビューアでファイルを開かせることで、任意のコードをリモートから実行できてしまう。

 これらの脆弱性はセキュリティ企業Secuniaにより発見されている。同社は米国時間2月10日、これらの脆弱性はLotus Notes 6.5.4および7.0以前のバージョンに影響することを勧告により明らかにした。

 「この脆弱性は、非常に多くの企業がLotus Notesを使用していることを考えると、大きな問題だ」とSecuniaの最高技術責任者(CTO)Thomas Kristensenは述べる。「添付ファイル付きの電子メールを受け取った場合、単純にそれをクリックして閲覧しただけで、システムがリモート攻撃を受けやすくなる」(Kristensen)

 IBMは、セキュリティアップデート7.0.1を今週、6.5.5を2005年12月に公開している。

 「Secuniaから連絡があり、Lotus Notesで使用されるビューア『KeyView』にバッファオーバーフローの脆弱性5件とディレクトリ横断の脆弱性1件について報告を受けた」とIBMは同社のセキュリティ勧告で述べている。そして、「攻撃者は、特別に作成した添付ファイルをまず送信する。受信したユーザーが添付ファイルをダブルクリックすれば、これらの脆弱性を悪用できるようになる」と説明する。

 例えば、ある脆弱性は、ユーザーにZIPファイルの中を確認させるだけで悪用することが可能だ。Notesの脆弱性を悪用すれば、攻撃者は、ユーザーが長い名前を持つ圧縮ファイルをKeyViewで取り出す時に、バッファオーバーフローを引き起こさせたり、コードのリモート実行を発生させたりすることが可能になる。

 また、長い名前を持つ暗号化されたファイルをKeyViewで開く時に、脆弱性が悪用される場合もある。Kristensenによると、悪質な暗号化ファイルを使えば、バッファオーバーフローやリモートコード実行を発生させることが可能だという。

 KeyViewは、Lotusに搭載される機能で、多くの種類のファイルを特別なアプリケーションのインストールを必要とせずに開くことができるというもの。

 Lotus Notesで発見された脆弱性としてはその他に、HTMLスピードリーダーにあるバウンダリエラーなどがある。攻撃者は、悪質なHTMLをユーザーに開かせることで、攻撃者はこの脆弱性を悪用し、Lotus Notesを稼働しているシステムを乗っ取ることができる。

この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加