PR

 Webブラウザ「Opera」の国内販売元であるトランスウエアは2月10日,「Opera6.05 for Windows 日本語版」に深刻なセキュリティ・ホールがあることを明らかにした。ユーザーがある特定のURLを開こうとするとバッファ・オーバーフローが発生して,パソコン上で任意のプログラムを実行される恐れがある。対策は,Operaの設定ファイルを一部編集すること。なお,2月4日に公開された「Opera 7.01 for Windows 英語版(日本語版は存在しない)」は影響を受けないという(関連記事)。

 Opera6.05は,日本語版Operaとしては最新のバージョンである。今回のセキュリティ・ホールは,「『http://』で始まる,長いユーザー名を含むURL」を指定すると,バッファ・オーバーフローを引き起こすというもの。つまり,WebページやHTMLメールに記載されたリンクをクリックするだけで,ウイルスをはじめとする任意のプログラムを実行される恐れがあるのだ。

 リンクに限らず,イメージ・タグやスクリプトなどに仕込むことも可能なので,WebページやHTMLメールを閲覧しただけで,任意のプログラムを実行される恐れもある。とても深刻なセキュリティ・ホールである。

 対策は,Operaの設定ファイル(言語ファイル)である「japanese.lng」あるいは「ja.lng」を編集すること。Operaをインストールしたフォルダ(例えば,「C:\Program Files\Opera」)には,japanese.lng あるいは ja.lng という名前のファイルが存在する。

 このファイルをテキスト・エディタなどで開き,エディタの検索機能を利用して,「21463」で始まる行へ移動する。その行には,例えば次のように記載されている。

21463="セキュリティ警告:\n\nユーザー名を含むアドレスへ移動しようとしています。\n\n ユーザー名 : %s \n サーバー : %s\n\nこのアドレスへ移動してよろしいですか?"

 この中の,2つの「%s」を削除する。

 ただしこの対策を実施すると,Operaが表示する「URL警告ダイアログ」において,ユーザー名とサーバー名が表示されなくなる(「URL警告ダイアログ」とは,ユーザー名を含むURLを指定すると表示されるダイアログである)。

 とはいえ,今回見つかったセキュリティ・ホールは深刻である。セキュリティ・ホールを修正したバージョンが公開されるまでは,上記の対策を施したい。なお,設定ファイルを編集する際には,念のためにバックアップをとっておきたい(編集前のファイルを別名で保存しておきたい)。

◎参考資料
Opera6.05 for Windowsにオーバーフローによる脆弱性の可能性

(勝村 幸博=IT Pro)