パスワードを忘れた? アカウント作成
771491 submission
バグ

Becky!の独自拡張機能に重大なセキュリティ欠陥

タレコミ by jbeef
jbeef 曰く、
Shadow Penguin SecuirtyTechnical Forumに4月30日に書き込まれたコメントによると、 「Becky! Internet Mail」には、mailto: URLの処理に独自拡張した機能があり、「X-Becky-Attachment=ファイル名」で添付ファイルの自動指定ができ、 「X-Becky-Action=send」でメールの自動送信ができるのだという。つまり、 (mailto:へのリンクをBecky!で処理する設定にしている場合には、) 悪意あるWebサイトを訪れると、あるいは悪意あるHTMLメールを表示すると、ユーザの確認なしに、既知のパス名のローカルファイルを添付して指定のメールアドレスに自動送信してしまう。
回避策は、Windowsの「フォルダオプション」の「ファイルの種類」で、「URL:MailTo Protocol」を選び「詳細設定」ボタンを押し、「open」アクションを削除する。または、「インターネットオプション」の「プログラム」のタブの「電子メール」をBecky!以外にするなど。

製造元は「次期バージョンアップの際にこの独自拡張は削除される」と回答したとのことだが、削除するだけならすぐにリリースできるはずではなかろうか。開発中の次期バージョンを修正してリリースしようとすると、テストが不十分でリリースが遅れることもあるだろうが、直前のリリース済みバージョンから余計な機能を削除するだけならすぐにできるはずだ。ただし、発見者が何日前に報告したのかは不明。
一般に、開発者は、独自の機能拡張のアイデアを思いついたときは、それが標準に存在しない原因として、セキュリティ上の理由があるのではないかと疑ってみるべきだ。

typodupeerror

※ただしPHPを除く -- あるAdmin

読み込み中...