メールソフトBeckyに脆弱性あり!共に新バージョンリリース
多くの人がメールソフトにはWindowsに付属しているOutlook ExpressかOfficeに付属しているOutlookを使用しているかと思いますが、私は開業してからOutlookは危険だよと言うことを聞いて
Becky! Interenet Mail(以下、Becky)を使い続けています。(
このBeckyじゃないよ(^^ゞ)
今ではメールソフトもThunderbirdなど無料のソフトもありますが、その頃は「ソフトは買う物」という時代だったのでBeckyを4,000円出して購入しました。
購入後、Beckyはバージョンアップも定期的に行われているし特に困ったこともないのでそのまま使い続けています。
そのBeckyに
脆弱性があることが報告されました。そして、それと共に
バージョンアップ版(正確にはマイナーバージョンアップ)がリリースされましたので下記に報告します。
Beckyの脆弱性についてはユーザ登録を行っていれば御存知かと思いますが、Becky利用ユーザでユーザ登録をしていない人のために明記しておきます。
脆弱性の説明については著作権上あまり好ましくありませんが、メール内容をそのまま添付しておいた方がわかりやすいのとユーザに正確な情報を提供した方がいいだろうと自己判断して添付しておきます。
Becky! Internet Mail Ver.2.48.02以前のバージョンにて、悪意ある送信者により細工が施された開封確認つきのメールに対して、開封確認を送ることに同意した場合に、送信者が仕込んだ任意のコードが実行可能になる脆弱性が存在しました。
Becky!のデフォルト設定では、開封確認を送る際に、受信者に同意を求めるダイアログボックスが出るため、ここで「いいえ」を選んだ場合は問題は発生しませんが、「はい」を選んだり、Becky!のオプションで、開封確認を自動的に送る設定にしていた場合、上記のセキュリティ上の問題が発生します。
対策としてはVer.2.48.03を使用するか最新バージョンのVer.2.50を使用する必要があります。もし、何かしらの理由でバージョンアップできない場合は設定で「開封確認のリクエストがあった場合」を「無視する」か「開封確認を送るかどうか、その都度問い合せる」にして必要に応じて対応する方がいいでしょう。
また、上記の最新バージョンのVer.2.50は先日から5回ものRC版(リリース候補版)をリリースして確認作業を行う念の入りようでした。というのも変更、修正箇所がかなり多くいきなり正式版を出すには危険が多いためこの様な5回のRC版を出したようです。
せっかくなので、今回、Ver.2.48.02から変更した内容も明記しておきたいと思います。
- 「エージェント機能」の追加。メールビューの右上のボタンをクリックして、メールに「エージェント」という仮想担当者を付ける事で、「要返信」「返信待ち」などのタスクを管理させることが出来ます。詳しくは、ヘルプの「高度な使い方」「エージェント機能を使う」をご参照下さい。
- メール毎のメモ機能を追加。メッセージビューのタブシート上で、「ヘッダ」の横にあります。
- 「見出し検索」機能の追加。右上の検索ボックスに文字列を入力することで、From, To, Cc, Subjectに含まれる文字をリアルタイム検索して、絞込み表示します。
- メッセージビュー上部のヘッダバーの「差出人」「件名」などのラベルをクリックしたときのメニューに「コピー」「フィールドごとコピー」の項目を追加。
- Windows Vistaのビジュアルスタイルへの対応を強化。
- 「全般的な設定」「送信」で、SMTPサーバーに対して宣言する「送出ホスト名」を設定できるようにした。
- アドレス帳の Up/Downボタンは、項目がソートされているときは、グレーアウトするのではなく、押したときに警告メッセージが出るようにした。
- 印刷プレビュー画面で、Enterを押すだけで印刷に移れるように、ボタンのフォーカスを変更。
- クエリー検索で、2.40以降、若干検索速度が落ちていたのを改善した。
- クエリー検索の「インデックス」検索は、名称が紛らわしいため「見出し」検索に変更。また、「見出し」の検索対象にCcも加えられるようにした。(受信済みのメールについては、フォルダの修復が必要です)(半角256文字を超えるCcは、To同様、256で切られます。)
- プロファイルの選択を、ツリービュー上のコンボボックスからも可能にした。
- Quick Memo上で、Ctrl+Sで、メモをファイルとして保存できるようにした。
- メッセージビューにフォーカスがあるとき、上下左右のカーソルキーの動きを4wayボタンに合わせるオプションを追加。(「全般的な設定」「メール表示」「カーソルキーで4wayボタンを操作」オプション。新規インストールの場合は初期値ON)
- フォーカスのないウインドウでも、マウスカーソルがその上にある場合はホイールでのスクロールを可能にした。
- 「メールボックスの設定」で、サーバー名を変更した場合、未読情報などを保持するデータファイルなども、可能な限り変更に追従するようにした。
- UTF-8のメール上で、スクロールさせると異常終了することがあるバグを修正。
- 受信サイズ制限にかかったメールの件名の先頭に付く(skipped)の表示が、フォルダを修復すると消えてしまうバグを修正。
- 添付ファイルの右クリックメニューの「保存して開く」を追加。さらに、「全般的な設定」「メール表示」に、「添付ファイルのダブルクリックは保存して開く」オプションを追加。
- メール作成後の、宛先確認画面のテキストボックスを、メール作成画面同様、Unicode対応にした。
- POP3の認証方式の一つであるAPOPについて、悪意のある人が、偽のメールサーバーを立てて、そちらにユーザーをアクセスさせることで、APOPのパスワード
をクラックすることが可能であるというセキュリティ上の問題が発見されており、それ自体は、メールソフトの側で対策することはできませんが、バナー文字列がASCIIであるかどうかをチェックするだけで、かなりリスクを低減できるとのことなので、一応Becky!でもその対策を行いました。 - 本文と件名の文字コードが異なる場合に文字化けするケースに対して、文字化けしないように追加対応を行った。(受信済みのメールについては、フォルダの修復が必要です)
- プラグインAPIに、MoveMessages()というAPIを追加。
- マクロシンボル%hで、UTF-8のヘッダが文字化けするバグを修正。
- フォルダの修復を行うと、そのサブフォルダとして、アルファベット大文字小文字のみ異なる同じフォルダが重複して表示されることがあるバグを修正。
Becky! Internet Mail - 有限会社リムアーツ
勝田 有一朗
工学社
売り上げランキング: 91121
関連記事