アーカイブ
Eudora "Reply-To-All" Buffer Overflow Vulnerabilty
2003年11月10日 | 注意喚起
SNS Advisory No.69
Problem first discovered on: Thu, 09 Jan 2003
Published on: Mon, 10 Nov 2003
概要
特定のバージョンのEudora for Windowsには、Buffer Overflowを生じさせてしまう問題が存在します。悪意ある攻撃者はこの問題を利用することで、標的ユーザの権限で任意のコードを実行できる可能性があります。
問題
Eudoraを利用し、ヘッダのFrom:フィールドに長大な文字列を含むメールを受けとった場合、このメールに対して『全員に返信』を選択した場合にBuffer Overflowが発生します。この現象はReply-To:フィールドに長大な文字列を含むメールに対して『全員に返信』を選択した場合にも発生します。この問題を利用することで、悪意ある攻撃者はEudoraを実行するユーザの権限で任意のコードを実行できる可能性があります。
問題を確認したバージョン
Eudora 5.1-J for Windows 日本語版
Eudora Version 5.2.0.9 for Windows 英語版
対策
下記のバージョンへアップグレードを行うことでこの問題を解消することができます。
Eudora 5.1-Jr3 for Windows 日本語版以降
Eudora Version 6.0 for Windows 英語版以降
発見者
新町 久幸
発見と報告の経緯
2003年 1月 9日:脆弱性の発見
2003年 1月21日:株式会社オン・ザ・エッヂおよび米QUALCOMM社に報告
2003年 3月下旬:本脆弱性を修正したEudora 5.1-Jr3がリリースされる
2003年 6月25日:米QUALCOMM社より連絡を得られないため米CERT/CCに報告
2003年10月 4日:Eudora Version 6.0 for Windows英語版で本脆弱性が修正されていることを確認
2003年11月10日:本脆弱性の公開