アーカイブ
Active! mail Executing the Script upon the Opening of a Mail Message Vulnerability
2002年6月12日 | 注意喚起
SNS Advisory No.54
Problem first discovered:Fri, 31 May 2002
Published:Wed, 13 June 2002
概要
Active! mailには、特定の電子メールヘッダにHTMLタグが記述されている場合、これを適切に変換せずにそのまま表示してしまうという問題があります。
詳細
Active! mailは、株式会社トランスウエア(http://www.transware.co.jp/)が開発および販売しているWebベースのメールシステムのパッケージ製品です。Active! mailには、特定の電子メールヘッダにHTMLタグが記述されている場合、これを適切に変換せずにそのまま表示してしまうという問題があります。このため、仮にユーザが受け取った電子メールのヘッダに、<script>タグを含む悪意のあるスクリプトが埋め込まれていた場合、その電子メールを表示すると同時にスクリプトが実行され、これにより利用者のCookieの情報が漏洩し、攻撃者にWebメールシステムを不正に使用されてしまう等の被害を受ける恐れがあります。
問題を確認したバージョン
Active! mail 1.422
Active! mail 2.0
対策
Active! mail ver.2.0.1.1へアップデートすることでこの問題を解消することができます。これは以下のURLより入手可能です。
http://www.transware.co.jp/active/download/am_download.html
尚、我々がこの問題を発見し開発元に問い合わせたところ、翌営業日には、パッチを作成してユーザに配布する予定である旨の連絡を受けました。
発見者
山崎 圭吾(ラック)