■ 秀まるおのホームページ(サイトー企画) > ニュースリリース(秀丸メール:新しく見つかったPGPおよびS/MIMEについての脆弱性について) |
「OpenPGP および S/MIME メールクライアントにメッセージの取り扱いに関する脆弱性」が発表されましたが、秀丸メールが該当するかどうかについてコメントさせていただきます。 問題の脆弱性は、multi-part MIMEのパートの一部にOpenPGPまたはS/MIME暗号化した内容を含んでいる場合の話になりますが、秀丸メールでは、そもそも的に、そのような暗号化パートのみの復号には対応していません。なので、秀丸メールについては脆弱性の問題は起きないと考えられます。 ただし、論文の中に書かれている、HTMLメールのimageタグをMIMEの複数パートに分割するような偽装は秀丸メールでも通ってしまうので、それについては念のため、Version 6.82以降にて対処させていただきます。 対処するメールの例: Content-Type: multipart/mixed; boundary="BOUNDARY" --BOUNDARY Content-Type: text/html <img src="http://test --BOUNDARY Content-Type: text/html Content-Disposition: inline /test"> --BOUNDARY-- 上記の例は、<img src="http://test">/test">のように変換するようにして、複数パートが連結して1つのURLとはならないようにします。
|