ヤフーは5日、Windows版のYahoo!メッセンジャーにバッファーオーバーフローの深刻な脆弱性があると発表した。同脆弱性の危険度について、Secuniaは上から2番目の「Higely critical」、フランスのFrSIRTは最高の「Critical」であると警告している。
ヤフーでは、2007年3月8日以前にWindows版Yahoo!メッセンジャーをダウンロードしたユーザーに対し、脆弱性の影響を受ける可能性があるとして、最新版のダウンロードを呼びかけている。最新版のバージョンは7.0.0.7。Yahoo!メッセンジャーの「ヘルプ」メニューの「Yahoo!メッセンジャーについて」で確認できる。
4月3日にYahoo!メッセンジャーに統合された「Yahoo!チャット」でも、当該コントロールを使用していたため、パソコン内に残っている場合、Internet Explorerのメニューから削除する必要がある。ヤフーでは、削除の方法を「ActiveX Audio Conferencing アップデートのお知らせ」で紹介し、チャット機能はメッセンジャーから利用できると案内している。
同脆弱性はYahoo!メッセンジャーのaudio conferencing codeに含まれるActiveX controlで、バッファーオーバーフローが起きるもの。細工を施したWebページにアクセスすると、コード実行や、Yahoo!メッセンジャーからの強制的なログアウト、アプリケーションの異常終了などが起こる。
(2007/04/06 ネットセキュリティニュース)
■ActiveX Audio Conferencing アップデートのお知らせ(ヤフー)
http://messenger.yahoo.co.jp/notice.html
■Yahoo Messenger "AudioConf" ActiveX Control Remote Buffer Overflow
Vulnerability[英文](FrSIRT)
http://www.frsirt.com/english/advisories/2007/1219
■Yahoo! Messenger AudioConf ActiveX Control Buffer Overflow [英文](Secunia)
http://secunia.com/advisories/24742/