■
■outlookexpressにアカウントおよびパスワード漏洩の可能性
OE5ないし6でアカウントパスワード漏洩の可能性
5月13日にPaul Kurczaba氏が発表したOEのアカウントおよびにパスワード漏洩に関するアドバイザリーによると特定な条件下の元でoutlookexpressのアカウントとパスワードが盗まれ得るとのことです。
条件としては、Outgoing Mail Serverの設定においてMy server requires authenticationのチェックをONにしていること、そして、SMTPのログを採取する設定になっていること、をPaul Kurczaba氏は要請しています。
原因
BASE64でエンコードされた(つまり実質的には暗号化されておらず平文と同じ)アカウントおよびにパスワードが、ローカルに保存されるSMTPログファイルにそのまま書きこまれています。
攻撃者は、他の脆弱性を併用してリモートから悪意ある実行ファイルを送りこみ起動してログファイルを読み出しBASE64でデコードすることが可能です。
対策
SMTPのログは既定値では採取していないハズですが、勉強の為にセットしている方(かつてそんなことをしたかもしれない人も)、採取しない設定に変更しておくとともに、溜まっていたログファイルを消去しておくことをお勧めします。
OEから【ツール】【オプション】【メンテナンスタブ】【トラブルシューティング】にて確認。ログファイルは私のWin98の場合には、以下の場所にsmtp.logとして存在していました。
C:\WINDOWS\Application Data\Microsoft\Outlook Express\
危険度
特定の設定の人はよく気をつけるようにしましょう。企業などでは、ログファイル採取の設定がなされていないかどうかを全台確認する必要が出てくる場合もあります。メイルサーバーごとに異なりますので確認してみてください。
なんだかなぁ
いや、私は、現在採取こそしていませんでしたが、昔のログは消しました。
余談
たとえばWebMailからoutlookexpressでPOPしている場合も心配といえば心配なのかなぁ。教えてエライ人。
http://www.kurczaba.com/securityadvisories/0405132.htmは激しく既出かも。http-equivさんが報告してsecuniaでも取り上げられていましたし、4月頃、kamadaさんも見つけてましたし。
