Active! mail 2003 における不正なアドレスを持つメールによりスクリプトが実行される危険性について

AM03SA2009-002

任意のスクリプトの実行

影響を受ける製品は以下の通りです。

• 製品名称：Active! mail 2003
• 該当ビルド番号：Build: 2003.0139.0871 以前のすべてのバージョン
• 該当OS：上記該当ビルド番号の対応OSのすべて

使用しているビルド番号の確認方法は以下の通りです。

• Active! mail 2003 へユーザーアカウントにてログイン
• [メール受信] 画面を表示
• 右下フレームに表示されている切手の画像左の Copyright 部分を1行下の空白部分までドラッグして選択
• 反転部にBuild番号が表示される
  例) BuildInfo: 200301390871(normal)

注：ウィンドウのレイアウトが「標準」もしくは「標準+メールボックス」以外の場合は、あらかじめレイアウトを「標準」もしくは「標準+メールボックス」に変更していただく必要があります。

悪意のある攻撃者が不正な From, To, Cc, Bcc ヘッダを持つ電子メールを被攻撃者に送信し、被攻撃者が当該メールを開き、送信者のメールアドレスを住所録に追加するためのリンクをクリックすると、攻撃者が設定したスクリプトが実行される危険性があります。

Cookie 情報の漏洩によるセッションハイジャックなど。

メールソース中のFrom,To,Cc,Bccヘッダに、タグ要素である「<」,「>」（構成要素）や「&」（参照要素）を含むメールを開き当該箇所をクリックした場合、適切なエスケープが行われるようにした修正を含むActive! mail 2003 の最新バージョン（Build: 2003.0139.0939）をリリースいたしましたので、バージョンアップしていただくか、対策済のバージョン（Build: 2003.0139.0911）以降をご利用ください。

最新バージョン（Build: 2003.0139.0939）にバージョンアップしていただくことにより、From, To, Cc, Bcc ヘッダに不正なアドレスを持つメールを開き当該箇所をクリックする事により不正なスクリプトが実行される危険性はなくなります。

住所録に追加するための操作で、メール本文表示からのFrom, To, Cc, Bcc アドレスをクリック操作で登録などを行わない。