|
[English]
|
JVNDB-2005-000772
|
メールクライアントソフトにおける mailto URL scheme の不適切な解釈
|
|
mailto URL scheme は、ウェブページにおいてメールアドレスを記載するために使われます。mailto URL scheme を用いて宛先メールアドレスやメール本文に記載する内容を指定することにより、メールのテンプレートを提供することができます。多くのメールクライアントでは、mailto URL scheme により指定されたフィールドをメールヘッダに設定する機能を持っています。
mailto URL scheme については RFC2368 で定義されていますが、この文書の "Security Considerations" セクションにおいて、以下のような指摘がなされています。
- メールクライアントは、mailto URL scheme の記述をもとに作成したメールの全体をユーザに確認させるべきである
- とくにヘッダについては宛先だけでなく、その他のヘッダについても明示的に表示すべきである
- メール配送に関係するヘッダを mailto URL scheme の記述に基づいて設定することは不適切である
一方、いくつかのメールクライアント実装では、メール配送に関係するヘッダを mailto URL scheme の記述に基づいて設定したり、設定したヘッダを明示的に表示しないことが確認されています。
JVN では製品開発者との調整のうえ、ユーザおよびメールクライアント開発者への周知を目的として、この問題を掲載しています。
本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: 株式会社ビジネス・アーキテクツ 太田 良典氏
|
|
CVSS v2 による深刻度
基本値: 4.3 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
|
|
|
Edcom
- EdMax Ver3.05 およびそれ以前
- EdMaxフリー版 Ver2.85.5F およびそれ以前
アライドテレシス
- AT-Mail Server (2005.06.20 以前に公開されている全てのバージョン)
オレンジソフト
ジャストシステム
- Shuriken Pro3
- Shuriken Pro4
リムアーツ
- Becky! Internet Mail Ver.2.21.01 およびそれ以前
有限会社サイトー企画
- 秀丸メール Version4.12 およびそれ以前
|
|
|
ユーザが意図しない宛先にメールが送られる可能性があります。
|
|
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
|
|
Edcom
アライドテレシス
オレンジソフト
ジャストシステム
リムアーツ
有限会社サイトー企画
|
|
|
|
|
|
- JVN : JVN#FCAD9BD8
- IETF : RFC2368: The mailto URL scheme
|
|
- [2007年04月01日]
掲載
[2007年06月05日]
CVSSによる深刻度: N/A から[IPA値]に更新しました。
|
