窓の杜Logo
NEWS (05/05/27 16:45)

意図しない宛先にメールを送ってしまう問題に対応したメールソフトが続々公開

“mailto:”リンクからのメール作成でCc/Bccに気づかない問題に対応

JP Vendor Status Notesのページ
JP Vendor Status Notesのページ
 IPAとJPCERT/CCが共同運営する脆弱性情報サイト“JP Vendor Status Notes”は26日、意図しない宛先へメールを送ってしまう問題が一部メールソフトに存在することを公表した。これを受け、同問題に対応した「Becky! Internet Mail」「EdMax」などのバージョンアップ版や、「Shuriken Pro」用の修正パッチが、26~27日にかけて次々に公開されている。

 同問題は、メール作成画面でCc/Bcc欄を表示しないメールソフトを標準のメールソフトにしている場合、Cc/Bccが指定された“mailto:”リンクをクリックしてメール作成すると、知らない間にユーザーが意図しない宛先へメール送信してしまう恐れがあるというもの。

 対応策はメールソフトにより異なり、たとえば「Becky! Internet Mail」最新版のv2.21.02では“mailto:”リンクに含まれるBccを無視し、「EdMax」v3.06と「EdMaxフリー版」v2.85.6FではCc/Bccともに無視する。

 「Shuriken Pro」v3/4では、パッチを適用すると、メール作成画面でBcc欄などを表示しない“簡略表示”モードにしている場合でも、“mailto:”リンクにCc/Bccが含まれていればCc/Bcc欄を強制表示するようになる。

 「Outlook Express」や「MS Outlook」は、Cc/Bccが含まれていればメール作成画面でCc/Bcc欄が表示されるため、この問題の影響を受けない。また「鶴亀メール」は、3月23日公開のv4.13で対応済み。自分が使用しているメールソフトの対策版が公開されているか確認し、用意されていれば速やかにアップデートを行い、なければCc/Bcc欄は常に表示するように設定するなどの対策をとろう。

【18:25 追記】

 また(株)ジャストシステムによると、同社のホームページで配布されている「Shuriken Pro」v4 体験版については、今回公開されたパッチを適用済みであるとのこと。


□JP Vendor Status Notes
http://jvn.jp/jp/JVN%23FCAD9BD8/
□EdMax セキュリティホール
http://www.edcom.jp/edmax/edmsec.html
□サポート:アップデート:インターネット・携帯電話(「Shuriken Pro」用修正パッチのダウンロードページ)
http://www3.justsystem.co.jp/download/update/01_net.html
□秀まるおのホームページ-鶴亀メールでのmailto:プロトコルに関係した脆弱性について
http://hide.maruo.co.jp/security/tksec20050526.html

(石川 敬峰)




トップページへ

Copyright ©2005 Impress Corporation, an Impress Group company. All rights reserved.
編集部への連絡は お問い合わせはこちらをクリック まで