IMソフト2製品で脆弱性--Zero Day Initiative報告

　Zero Day Initiativeは米国時間5月22日、インスタントメッセージイング（IM）用ソフト2製品に影響を与える脆弱性4件を報告した。このうち3件はCerulean Studiosの「Trillian Pro」に、1件がIBMの「Lotus Sametime」に影響を与えるという。Zero Day InitiativeはTippingPointが立ち上げたプログラムで、脆弱性を発見した研究者に報酬を支払うことで議論の的となっている。

　Trillianにある最初の脆弱性は、msnプロトコル用ヘッダーパーシングコードに影響を与え、攻撃者に任意のコードの実行をリモートから可能にする。

　Trillianにある2件目の脆弱性は、talk.dllでのXMLパーシングに影響を与え、攻撃者に任意のコードの実行をリモートから可能にする。

　Trillianにある3件目の脆弱性はFONTタグに影響を与え、AIMネットワーク上、または、直接接続経由で悪用される可能性がある。

　これらの脆弱性に対応するため、Cerulean StudiosではTrillian v3.1.10.0をリリースした。

　IBM Lotus Sametimeに影響を与える脆弱性は、攻撃者に任意のコードの実行をリモートから可能にする。

　この問題に対応するため、IBMはアップデートを公開している。