JVN(JP Vendor Status Notes※)は25日、ファイル共有ソフトWinny(ウィニー)の脆弱性を使用した攻撃手法に関する情報が一般に公開されているとして、脆弱性情報「JVN#74294680」を更新した。
同脆弱性は先月21日に公表されたもので、Winnyの転送コマンドに長いパラメータを渡すとバッファオーバーフローが発生し、DoS(Denial of Service:サービス拒否)やコード実行の恐れがあるというもの。公表直後に異なる2種類の脆弱性を突くDoSの実証コードがインターネット上で公開され、これらを含む3つの脆弱性に対処する非公式の修正パッチが有志らによって配布されていた。
今回のJVNの更新が新たな情報公開を受けてのものなのか、1か月前の情報によるものなのかは定かではない。が、非公式パッチの安全性は全く保障されておらず、開発者による修正の見込みも依然として立っていない現状では、インターネットに接続しているだけで攻撃される可能性のあるWinnyの危険性に何ら変わりはない。
JVNは、脆弱性を使用した攻撃活動は今のところ観測されていないが、Winnyを利用しないことで攻撃の影響を未然に回避できるとしている。
【※JVN(JP Vendor Status Notes)】
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同で運営する、脆弱性情報や対策情報をまとめたサイト。
(2006/05/29 ネットセキュリティニュース)
■JVN#74294680:Winny におけるバッファオーバーフローの脆弱性(JVN)
http://jvn.jp/jp/JVN%2374294680/
■参照記事(ネットセキュリティニュース)
・Winnyに深刻な脆弱性~修正の目処立たず(2006/04/24)