ヤフーは14日、Windows版のYahoo!メッセンジャーに脆弱性が発見されたことを明らかにし、脆弱性を修正した新しいバージョンをダウンロードするよう呼びかけた。今回見つかった脆弱性は非常に深刻なもので、この脆弱性を悪用する攻撃もすでに確認されており、ユーザーは早急にアップデートを行う必要がある。
ヤフーによると、今月8日以前に提供されていた旧バージョンのYahoo!メッセンジャーにおいて、ビデオ機能に関するActiveX controlに、バッファオーバーフローを引き起こす脆弱性が2つ確認された。これらの脆弱性を悪用すると、細工を施したウェブサイトを閲覧させるだけでパソコンを乗っ取ることができ、実際にそうした悪意のあるサイトが見つかっている。
これらの脆弱性は、Yahoo!メッセンジャーを起動していなくても悪用が可能なので、Yahoo!メッセンジャーをインストールしているパソコンはすべて、アップデートを行う必要がある。また、ヤフーでは、既存ユーザーについて、近日中に修正バージョンへオートアップデートがかかるとしている。
今回修正された脆弱性は、まず、米Yahoo!が提供しているYahoo! Messengerで見つかった。先週、各国のセキュリティベンダーがこの脆弱性について相次いで警告を出し、米Yahoo!では日本時間8日、修正バージョンをリリースしてアップデートを呼びかけた。実は日本版のYahoo!メッセンジャーについても、8日からすでに修正バージョンの提供が行われていたが、脆弱性を悪用する攻撃が確認された後もアップデートの呼びかけがなされず、ユーザーは危険な状態にさらされていた。
(2007/06/15 ネットセキュリティニュース)
■アップデートのお知らせ(Yahoo!メッセンジャー)
http://messenger.yahoo.co.jp/notice/security070608.html
■Yahoo! Messenger Two ActiveX Controls Buffer Overflows[英文](Secunia)
http://secunia.com/advisories/25547/
■Yahoo! Messenger exploits seen in the wild[英文](SANS Institute)
http://isc.sans.org/diary.html?storyid=2952
■Yahoo Vulnerabilities Exploited In the Wild[英文](TrendLabs Malware Blog)
http://blog.trendmicro.com/yahoo-vulnerabilities-exploited-in-the-wild/