セキュリティ専門家はオープンソースのメールシステムのHorde(ホード)に重大な脆弱性があることを以前から知っていた。悪意あるハッカーは極めて容易にユーザーの受信箱全体をダウンロードすることができる。
Hordeは人気のオープンソースのメールシステムだ。開発とメンテナンスはHordコミュニティのデベロッパーとメンバーが担当している。利用が無料であることもあって、大学、図書館など多くの組織で標準メールシステムとして利用されている。
しかしセキュリティ専門家のNuman Ozdemir(ヌマン・オズデミール)氏はさる5月に深刻な脆弱性がHordeにあることを指摘した。その1つはCSRFR(クロス・サイト・リクエスト・フォージェリー)を利用したもので、悪意あるサイトへのリンクを含むメールを送りつけ、受信者がそのURLをクリックすると、受信者が気づかないうちに受信箱内のコンテンツがすべて悪意あるサイトにコピーされてしまうというものだ。
指摘に対してHorde側からはなんの回答もなかった。セキュリティ専門家は脆弱性を発見した後、修正のために3カ月待ってから、脆弱性情報を公開するのが一般的だ。
米国政府の組織でソフトウェアの脆弱性データベースを運営するNISTはこの脆弱性のリスクを高度と認定している。
オズデミール氏によれば、最新版のHordeウェブメールではいくつかは修正されたが、依然として
スポンサーリンク
メールシステム「Horde」に第三者が受信箱全体をダウンロードできるバグ
IT起業ニュース
コメント