iDEFENSEのホームページ

　米国のセキュリティ情報企業・iDEFENSEが8日（現地時間）明らかにしたところによると、「MS Office」などに同梱されているメールソフト「MS Outlook」と、Webブラウザー経由でメールを送受信可能にする「MS Exchange」の機能“MS Outlook Web Access”に、メールアドレスのFrom欄を詐称できる脆弱性が存在するとのこと。

　また本脆弱性は、「Outlook Express」には存在せず、「MS Outlook」のXP/2003や「MS Exchange Server 2003」などでの影響が確認された。現在のところマイクロソフトから修正パッチは公開されていない。

　本脆弱性はヘッダー解析処理の不具合に起因し、複数のメールアドレスがFromフィールドに記載されていると、最初のメールアドレスしか表示されないのだという。信頼ある機関のメールアドレスを送信者として表示させることで、フィッシング詐欺などに悪用される恐れがある。

□iDEFENSE : Power Of Intelligence : Current Intelligence : Vulnerabilities
http://www.idefense.com/application/poi/display?id=227&type=vulnerabilities&flashstatus=true

（石川 敬峰）