セキュリティ関連企業や機関は28日、マイクロソフトの「MSN メッセンジャー」とその後継の「Windows Live メッセンジャー」に脆弱性が見つかったとして注意を呼びかけた。最新版の「Windows Live メッセンジャー 8.1」は影響を受けないといい、8.1へのアップデートを促している。
今回見つかったのは映像通話機能に関する問題で、細工されたビデオストリームを受信すると、ヒープベースのバッファオーバーフローが起こり、DoS(Denial of Service:サービス拒否)やコード実行のおそれがある。FrSRTは深刻度を4段階の上から2番目「High Risk」、Secuniaは5段階の上から2番目「Highly critical」と評価している。当該脆弱性は、先日お伝えした「Yahoo!メッセンジャー」の脆弱性を発見したグループのウェブサイトで今年1月末、実証コードとともに公開されていた。
最新版の「Windows Live メッセンジャー 8.1」の日本語版は、今年1月に公開されているが、対応OSはWindows Vista/XPのみとなっており、Windows 2000以前のOSで「MSN メッセンジャー」を利用しているユーザーは移行することができない。US-CERTはアドバイザリの中で、8.1をインストールできないユーザーは映像通話を受け入れないよう注意している。
(2007/08/29 ネットセキュリティニュース)
■Windows Live メッセンジャー / MSN メッセンジャー
http://messenger.live.jp/
■アドバイザリ(英文)
・Microsoft MSN Messenger Video Conversation Handling Code Execution Issue(FrSIRT)
http://www.frsirt.com/english/advisories/2007/2987
・MSN Messenger Video Conversation Buffer Overflow Vulnerability(Secunia)
http://secunia.com/advisories/26570/
・VU#166521: MSN Messenger and Windows Live Messenger webcam stream heap overflow(US-CERT)
http://www.kb.cert.org/vuls/id/166521
・Potential MSN Messenger video conversation vulnerability(SANS Institute)
http://isc.sans.org/diary.html?storyid=3326