JPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)は20日、ファイル共有ソフト「Winny」に4件の脆弱性が見つかったとして注意を呼びかけた。影響を受けるのは、「Winny 2.0b7.1」およびそれ以前のバージョン。
今回公表されたのは、バッファオーバーフローの脆弱性2件とBBS情報の処理に関する脆弱性、ノード情報の処理に関する脆弱性の計4件。バッファオーバーフローの脆弱性は、クラッシュやコード実行のおそれがあり、悪用されるとシステムが乗っ取られる可能性がある。BBS情報とノード情報の処理に関する脆弱性は、悪用されると他のシステムを攻撃する踏み台にされるおそれがある。
Winnyの脆弱性については、2006年にもバッファオーバーフローの問題が1件見つかっているが、制作者の刑事事件が係争中のため、今回の4件も含めて修正版や修正パッチなどが提供される予定はなく、回避策も示されていない。2006年の問題発覚時には、有志らによって3件のバッファオーバーフロー問題に対処する非公式の修正パッチが配布されたが、今回公表された2件が当時の修正パッチに含まれていたものかどうかは不明。
(2010/08/23 ネットセキュリティニュース)
■JVNの脆弱性情報
・JVN#54336184:Winny における BBS 情報の処理に関する脆弱性
http://jvn.jp/jp/JVN54336184/
・JVN#25393522:Winny におけるノード情報の処理に関する脆弱性
http://jvn.jp/jp/JVN25393522/
・JVN#21471805:Winny におけるバッファオーバーフローの脆弱性
http://jvn.jp/jp/JVN21471805/
・JVN#91740962:Winny におけるバッファオーバーフローの脆弱性
http://jvn.jp/jp/JVN91740962/