管理番号
AM06SA2009-002
脆弱性の種類
セッションIDの漏洩
該当製品および確認方法
影響を受ける製品は以下の通りです。
- 製品名称:Active! mail 6
- 該当ビルド番号:BuildInfo : 6.11.03002420 以前のすべてのバージョン
- 該当OS:上記該当ビルド番号の対応OSのすべて
使用しているビルド番号の確認方法は以下の通りです。
- Active! mail 6 へユーザーアカウントにてログイン
- 「ヘルプ」アイコン(画面右上の「ログアウト」ボタン左の
)をクリック - へルプトップ画面にビルド番号が表示される
例) BuildInfo : 6.30.01234567(normal)
該当環境
Active! mail 6 にてモバイル版をご利用の場合のみ
脆弱性の内容
悪意のある攻撃者が、被攻撃者に対して悪意のある Web サイトの URI を含むメールを送信し、被攻撃者がActive! mail 6 モバイル版において当該 URI のリンクをクリックした場合、Referer に含まれるセッション ID が、当該 Web サイトに漏洩する危険性があります。
脆弱性がもたらす脅威
セッション ID の漏洩によるメールの盗聴、差出人の詐称など。
対策方法
Active! mail 6 の最新バージョン(BuildInfo: 6.35.01004324)にバージョンアップして下さい。
実際には、Active! mail 6 モバイル版でメール内に存在するURLリンクをクリックした際に以下のような画面(図1参照)が表示され、URLからセッションIDを含む内容が削除されます。これにより、遷移先URLへセッションIDを漏洩する危険性が無くなり対策が可能になります。
注:上記対策において、PCでのモバイル版の利用 および Cookieを保存できる携帯端末での利用の場合は、上記の中間画面が表示されない場合がありますが、その場合でもセッションIDを漏洩する危険性はありません。
【図1.外部リンククリック時の中間画面】
回避策
電子メール中の URI リンクをクリックしない。
バージョンアップ版の入手方法
下記のURLにアクセスしてください。
http://www.qualitia.co.jp/support/am/verup/
上記URLアクセス時に認証を求められますので、保守契約時に発行させていただきましたIDとパスワードを入力していただきまして、認証をお願いいたします。認証いたしますと、ZIP形式で圧縮された状態の Active! mail 6 モジュールがダウンロード可能となります。
掲載日: 2009年12月22日