老舗メールソフト「AL-Mail32」がアップデート、複数の脆弱性を修正

「AL-Mail32」v1.13d

　（有）クレアルは18日、老舗メールソフト「AL-Mail32」の最新版v1.13dを公開した。本バージョンでは、複数の脆弱性が修正されている。

　同社の公開した“セキュリティ脆弱性情報”によると、v1.13cまでのバージョンの「AL-Mail32」には“uuencode”形式の添付ファイルの名前を取得する際にバッファオーバーフローが発生する脆弱性が存在するという。また、添付ファイルを保存する際に任意のディレクトリにファイルが作成されたり保存されたりするディレクトリトラバーサルの脆弱性や、“CON”“AUX”“NUL”といった予約語を名前に含む添付ファイルを保存する際に「AL-Mail32」が異常終了するサービス運用妨害（DoS）の脆弱性が存在するとのこと。

　とくにバッファオーバーフローの脆弱性は任意のコードが実行され、最悪の場合、攻撃者によりコンピュータ全体の制御が奪われる恐れがある。また、ディレクトリトラバーサルの脆弱性も重要なファイルを勝手に上書きされるなどの被害が想定されるため、なるべく早急なアップデートが必要だ。

　そのほかにも、“SMTP Authentication（SMTP-AUTH）”の認証方式に“AUTH-LOGIN”と“AUTH PLAIN”が追加された。また、特定のエンコーディングを扱う際に文字化けが発生する不具合が修正されている。