国産メールソフトのHTMLメール表示機能にセキュリティホール
「Datula」のオンシステムズが警告
(99/07/05)
メールソフト「Datula」の作者である(有)オンシステムズは4日、HTMLメール表示機能を持つ国産のメールソフトにセキュリティホールが見つかったとの警告をホームページ上に掲載した。
それによると、Internet Explorer(IE)のコンポーネントを利用したHTMLメール表示機能を持つ多くの国産ソフトは、受信したHTMLメールをセキュリティ保護のまったくない状態で表示させる仕様になっているため、HTML内に記述されているActiveXやJava Appletなどの実行可能なコードがそのまま無制限に実行され、ファイルを削除するなどの悪意ある実行コードも、メールを表示させただけで実行されてしまう危険性があるという。
この問題が発生するのは、「Becky!」「WeMail32」などの国産メールソフト。IEがHTMLを表示する場合は、セキュリティ保護の目的から、そのHTMLの置かれたURLや接続条件によって「イントラネットゾーン」「信頼済みサイトゾーン」「インターネットゾーン」「制限付きサイトゾーン」という4段階のゾーンにわけ、それぞれに設定したセキュリティレベルに従ってActiveXやJava Applet/ApplicationなどのHTML中にあるコード実行に制限をかける仕組みになっているが、ローカルのハードディスク上にあるHTMLファイルについては、全く制限のない状態で実行する仕様になっている。
国産のいくつかのメールソフトでは、受信したHTMLメールを表示する際にはハードディスク上のファイルとして表示させるため、HTML中に悪意ある実行コードが含まれていた場合もそのまま無警告に実行されてしまう危険性があるという。同社によると、「Outlook Express」や「Eudora Pro」などの海外製ソフトでは、こうしたことが起こらないよう、対策が施されているという。編集部で確認したところ「Outlook Express」の標準状態では、受信したHTMLメールをIEの「インターネットゾーン」と同じセキュリティレベルで表示する仕様になっていた。
同社では、国産のメールソフト作者に対して早急に対策を施すよう呼びかけ、ユーザーには対策版がリリースされるまでHTMLメールの自動表示機能を無効にするよう促している。
なお、オンシステムズが近日公開する予定という、HTMLメール表示機能を備えた次期バージョンの「Datula」ではすでに対策が施されているという。また、宮崎年之氏が開発しているメールソフトの「EdMax」は、5日になってHTMLのセキュリティチェック機能を盛り込んだバージョンが公開された。
□WebBrowser Controlを使うMUAに特大のセキュリティーホール
http://www.onsystems.co.jp/SecurityHole-HTMLView.html
(石橋 文健)
トップページへ