4/21 熊本県高森町にて |
何かと話題のファイル交換ソフトWinnyについて、バッファオーバーフローの脆弱性が報告されている。
この問題について作者の金子勇氏から「任意のコードが実行とはならない」というコメントが出されていたものの、問題を報告した鵜飼裕司氏から実際にコードが実行できることを確認したとされている。
どちらを信じる?信じない?はユーザーが判断すれば良い事だが、係争中の事案に係わる為に作者はこの脆弱性を修正することができない事が明らかにされており、また設定の変更などによる回避策も確認されていない事から、回避策は「Winnyを使わない」事しかない。
【参照】
●日経ITPro http://itpro.nikkeibp.co.jp/
┣「Winny(ウィニー)」にセキュリティ・ホールが見つかる 2006年4月21日
┣「Winnyのセキュリティ・ホールは危険」,発見者が警告 2006年4月22日
┗発見者が語る「Winnyのセキュリティ・ホール」 2006年4月24日
●ITmedia http://www.itmedia.co.jp/
┣Winnyにバッファオーバーフローの脆弱性、回避策は「利用の中止」のみ 2006年4月21日
┗Winnyの脆弱性は深刻、リモートからのコード実行につながる――eEyeがアドバイザリ 2006年4月24日
●Network Security, Vulnerability Assessment, Intrusion Prevention http://www.eeye.com/
┗Winny Remote Buffer Overflow Vulnerability 2006年4月21日
●JP Vendor Status Notes http://jvn.jp/
┣JVN#74294680 Winnyにおけるバッファオーバーフローの脆弱性 2006年4月21日
┗金子 勇の JVN#74294680 への対応 2006年4月21日