有限会社リムアーツが提供するBecky! Internet Mailは、メールを送受信するためのソフトウェアの一つです。Becky! Internet Mailには、メール送信者がメール受信者に対してメールの開封確認要求をした場合に、メール受信者が開封確認要求に応答する機能があります。

　Becky! Internet Mailには、メールの開封確認の処理に問題があり、バッファオーバーフローというセキュリティ上の弱点(脆弱性)が存在します。この弱点が悪用されると、Becky! Internet Mailがインストールされたコンピュータ上で、任意のコードが実行されてしまう可能性があります。

　詳細は、次のURLを参照して下さい。
http://www.rimarts.co.jp/index-j.html

　最新情報は、次のURLを参照下さい。
http://jvndb.jvn.jp/ja/contents/2009/JVNDB-2009-000011.html

　本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき、2009年1月5日に以下の報告者からIPAが届出を受け、JPCERT/CC（有限責任中間法人 JPCERT コーディネーションセンター）が製品開発者と調整を行ない、2009年2月12日に公表したものです。
　報告者： (株)フォティーンフォティ技術研究所　鵜飼 裕司　氏

　細工された開封確認の通知を要求するメールを受信したユーザが、開封確認の送付を許可した場合に、コンピュータ上でユーザの意図しないプログラムの実行や、ファイルの削除、ウイルスやボットなどの悪意あるツールのインストールが行われてしまう可能性があります。

　対策方法は「ベンダが提供する対策済みバージョンに更新する」ことです。

(1)評価結果

本脆弱性の深刻度	□ I（注意）	■ II（警告）	□ III（危険）
本脆弱性のCVSS基本値		6.8

(2)CVSS基本値の評価内容

AV：攻撃元区分	□ ローカル	□ 隣接	■ ネットワーク
AC：攻撃条件の複雑さ	□ 高	■ 中	□ 低
Au：攻撃前の認証要否	□ 複数	□ 単一	■ 不要
C：機密性への影響 　（情報漏えいの可能性）	□ なし	■ 部分的	□ 全面的
I：完全性への影響 　（情報改ざんの可能性）	□ なし	■ 部分的	□ 全面的
A：可用性への影響 　（業務停止の可能性）	□ なし	■ 部分的	□ 全面的

注）■：選択した評価結果
AV:AccessVector, AC:AccessComplexity, Au:Authentication,
C:ConfidentialityImpact, I:IntegrityImpact, A:AvailabilityImpact

　本脆弱性のCWE分類は、「バッファエラー（CWE-119）」です。

(1)「情報セキュリティ早期警戒パートナーシップ」について

　ソフトウェア製品及びウェブサイトの脆弱性対策を促進し、コンピュータウイルスやコンピュータ不正アクセス等によって、不特定多数のコンピュータ(パソコン）に対して引き起こされる被害を予防するため、経済産業省の告示に基づき、官民の連携体制「情報セキュリティ早期警戒パートナーシップ」を整備し運用しています（図6-1参照）。

　最新の届出状況は 「脆弱性関連情報に関する届出状況（プレスリリース）」 を参照下さい。

図6-1．「情報セキュリティ早期警戒パートナーシップ」の基本枠組み

参考情報

本件に関するお問い合わせ先

報道関係からのお問い合わせ先

更新履歴