PR

 米CERT/CCは米国時間1月24日,インスタント・メッセージ(IM)ソフト「ICQ」にバッファ・オーバーフローのセキュリティ・ホールを警告した。攻撃者は,ある特定の細工を施したリクエストをICQユーザーに送信することで,そのユーザーのパソコン上で任意のコードを実行できてしまう。対策は,最新バージョンの最新ビルドである「2001b Beta v5.18 Build #3659」にアップ・グレードすること。

 ICQは,イスラエルICQ社(旧Mirabilis,現在は米AOLの傘下)が開発したIMソフト。世界中で1億2000万人以上に使用されているという。無料で使用できることが特徴。日本語版は存在しないものの,有志により日本語化パッチが公開されており,国内でのユーザーも多い。ユーザーは早急にアップグレードする必要がある。ICQ社からは,影響を受けるバージョンかどうかを確かめる方法が公開されており同社サイトから最新ビルドをダウンロードできる。

 なお,米AOL社の「AOL Instant Messenger(AIM)」にも,2月の始めに同様のセキュリティ・ホールが見つかっている。米Internet Security Systems(ISS)によると,Windows版のバージョン4.3 から 4.7.2480,および 4.8.2616(ベータ版)が影響を受ける。同社では,最新バージョンにアップグレードすることを勧めている。

◎参考資料
CERT Advisory CA-2002-02 Buffer Overflow in AOL ICQ(米CERT/CC)
Help Center(イスラエルICQ)
Download ICQ for Windows(イスラエルICQ)
AOL Instant Messenger Remote Buffer Overflow(米ISS)

(勝村 幸博=IT Pro編集)