HTMLメール表示機能のセキュリティホール対策進む
7日現在の各メールソフトの対応状況
(99/07/07)
メール&ニュースリーダー「Datula」を公開している(有)オンシステムズは4日、HTMLメール表示機能を持つ国産のメールソフトにセキュリティホールがあることを同社ホームページで明らかにした。
この問題は、Internet Explorerのコンポーネントを利用してHTMLメールを表示するメールソフトの多くで、HTMLに記述されているActiveXやJava Appletなどの実行コードが無制限に実行されるため、ファイルを削除するなどの悪意ある実行コードが含まれていた場合でも、メールを表示させただけで実行される可能性があるというもの。
この問題に対し、各メールソフトの作者は問題を修正した対策バージョンをリリースするなど、さまざまな反応をみせている。HTMLメールの表示機能を備えた国産メールソフトの、7日現在での対応状況をまとめてみた。
□窓の杜 - 国産メールソフトのHTMLメール表示機能にセキュリティホール
http://www.forest.impress.co.jp/article/1999/07/05/htmlmail_bug.html
□窓の杜 - 電子メール関連
http://www.forest.impress.co.jp/mail.html
■ 対策済みのソフト
メール&ニュースリーダーの「Datula」は、次期公開バージョンでHTMLメールの表示機能が搭載される予定。非公開のテストバージョンでは既に対策がすすめられている。
「Becky! Internet Mail」では、HTMLメールの受信時にActiveXやJava Appletを実行するタグをコメントアウトすることで問題を回避するv1.25 rev.05を6日にリリース。7日には、JavaScriptを通してActiveXが実行される問題を回避したv1.25 rev.06がリリースされた。
「EdMax」では、実行コードが含まれるHTMLメールを表示する際に警告を出し、実行コードを無効にしたうえでHTMLを表示するv2.27を5日にリリース。同じ対策を施した「EdMaxフリー版」v2.27Fも6日にリリースされた。
フリーのメールソフト「Fmail」では、単体ではHTMLメールを表示できないが、アドオンの「Fmail_ReV」を組み込むことで、HTMLメールが表示可能になる。この「Fmail_ReV」にも同様のセキュリティ問題が発見され、6日に暫定対策バージョンのv0.3が公開された。
また「Letters」も、対策バージョンのv1.09が7日に公開。セキュリティ問題が修正されたほか、新たに画像付きのHTMLメールが表示できるようになった。
□「Datula」
http://www.onsystems.co.jp/
□「Becky! Internet Mail」
http://www.rimarts.co.jp/index-j.html
□「EdMax」
http://www.bekkoame.ne.jp/~t.mzaki/
□「Fmail」
http://www.freepage.total.co.jp/fujiki/
□「Letters」
http://208.211.36.167/letters/
■ 対策を表明しているソフト
「Winbiff」は、添付ファイルエリアのHTMLアイコンをダブルクリックし、ブラウザーを開いたときにのみ問題が発生する可能性がある。開発元の(株)オレンジソフトはユーザーに対し、添付ファイルエリアのHTMLアイコンを開かないよう注意をうながしている。7日公開のベータ版v2.30beta10では既に対策済みで、正式版は近日中に公開される予定。
「WeMail」のNECテレコシステムは、5日付けで現在調査中とのアナウンスを掲載。「WeMail」のユーザーに対してはHTMLメール表示の設定をOFFにするよう呼びかけている。
□「Winbiff」
http://www.orangesoft.co.jp/Press/SecurityHole.html
□「WeMail」
http://www.mesh.ne.jp/qsc/ntes/WeMail/
■ 問題がないことを表明しているソフト
メール&ニュースリーダーの「tsworks」は、Internet Explorerではなく、オリジナルの内蔵ブラウザーを使用してHTMLメールを表示するため、今回のセキュリティ問題の影響は受けないとのアナウンスを6日付けで掲載した。
□「tsworks」
http://www.fujitsu.co.jp/hypertext/Products/Software/tswks/
(新城 雅章)
トップページへ