PR

 セキュリティ組織のJPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)セキュリティセンターは2009年2月12日、リムアーツが提供するメールソフト「Becky! Internet Mail」にセキュリティ上の問題(脆弱性)が見つかったことを明らかにした。細工が施されたメールに対して特定の処理をすると、悪質なプログラム(ウイルスなど)を実行される恐れがある。対策は、最新版へアップデートすること。

 Becky! Internet Mailには「開封確認」の機能がある。これは、ユーザーがメールを開いた際に、そのことをメールの送信者に知らせる機能。メールの送信者が開封確認を要求している場合、Becky!の初期設定では、そのメールが開かれた際に、開封確認を送信するかどうかを尋ねるダイアログを表示。ユーザーが許可すると、メールの送信者に開封確認通知が送信される。

 今回報告された脆弱性は、この開封確認の処理に関するもの。細工が施されたメールに対して開封確認の通知を許可すると、そのメールに仕込まれたウイルスなどを実行される危険性がある(図)。

 影響を受けるのはバージョン2.48.02以前(2.48.02を含む)。リムアーツでは2009年2月11日に、今回の脆弱性を修正したバージョン2.48.03およびバージョン2.50を公開しているので、これらのバージョンへのアップデートが対策となる。同製品のユーザーはできるだけ早くアップデートしたい。

 なお今回の脆弱性は、開封確認の通知を許可しなければ悪用されない。このためリムアーツでは、早急にアップデートできないユーザーに対して、アップデートするまでは「開封確認のオプションを『無視する』にするか、『その都度問い合わせる』(初期設定値)にしておいて、心当たりのないメールによる開封確認は許可しないようにしてください」と呼びかけている。