Winny(ウィニー)に任意のファイルを実行される　-MCTセキュリティ情報-

ファイル交換ソフトのひとつであるWinny(ウィニー)の全バージョンにバッファオーバーフローを引き起こす脆弱性が見つかりました。。

今回の脆弱性の内容
・ヒープオーバーフローの脆弱性

●攻撃方法
　Winnyのファイル転送用ポートに対して特定のコマンドへの細工したパケットを送付する

●このような被害を受けます
　任意のプログラムを実行することにより、様々な操作が可能になります。
　ユーザーが管理者権限でPCにログインしていた場合、PCの完全な制御権を奪われる危険性もあります。
　

緊急：Winny(ウィニー)に任意のファイルを実行される脆弱性が発見されました。	2006/4/24更新

■ファイル交換ソフトのひとつであるWinnyにセキュリティ上の欠陥が見つかり、外部から任意のファイルが実行される可能性があります。
対象バージョン　*ご利用のWindowsのバージョンをよくご確認ください
Winny 2.0 b7.1 およびそれ以前の全バージョン
脆弱性の概要
ファイル交換ソフトのひとつであるWinny(ウィニー)の全バージョンにバッファオーバーフローを引き起こす脆弱性が見つかりました。。今回の脆弱性の内容・ヒープオーバーフローの脆弱性 ●攻撃方法　Winnyのファイル転送用ポートに対して特定のコマンドへの細工したパケットを送付する ●このような被害を受けます　任意のプログラムを実行することにより、様々な操作が可能になります。　ユーザーが管理者権限でPCにログインしていた場合、PCの完全な制御権を奪われる危険性もあります。
対策方法
●Winnyの利用を中止する　今回の脆弱性について、現在このソフトウエアの作者が変更修正に着手できない関係上、問題の修正は行われません。　したがって、Winnyの利用を中止する以外回避方法はありません。 Winnyについてはユーザーの皆さんもご存じの通り、無防備に出所不明のファイルをPC内に取り込んでしまうことなどの危険性が言われ続けてきました。(複数の悪質なウイルスが個人除法漏洩を引き起こしています) 今回ソフトウエアそのものが対象となることから、ウイルスや不正アクセスのターゲットとなる可能性が大きく、万一攻撃が行われた場合、Blaster（ブラスター)やSasser（サッサー)級の大規模な被害が及ぶ可能性があります。このことからも、Winnyの利用を直ちに中止するよう勧告いたします。
関連Webページ　*新しいウインドウで開きます
住商情報システム Winny2 リモートバッファオーバーフロー脆弱性 http://www.scs.co.jp/eeye/advisories/AD20060421.html 情報処理推進機構 JVN#74294680：「Winny」におけるバッファオーバーフローの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2006/JVN_74294680_winny.html Internet Watch 「Winny」におけるバッファオーバーフローの脆弱性 http://internet.watch.impress.co.jp/cda/news/2006/04/21/11752.html 「Winnyの脆弱性は悪用が容易な危険なもの」脆弱性を発見した米eEyeが警告 http://internet.watch.impress.co.jp/cda/news/2006/04/24/11761.html
このWebページの更新履歴 2006/04/24 この情報を掲載しました。