ヤフーは23日、脆弱性を修正したWindows版の「Yahoo!メッセンジャー」の最新版を公開した。同日以前にダウンロードされた方は、最新版に更新することをお勧めする。
今回修正されたのはビデオ(ウェブカメラ)機能に関する問題で、細工されたJPEG 2000形式のビデオストリームを受信すると、DoS(Denial of Service:サービス拒否)やコード実行のおそれがある。当該脆弱性は今月12日にインターネット上で公表されており、DoSを引き起こす実証コードも公開。問題のコンポーネントは日本語版にも使用されており、影響が懸念されていた。
同社からは今のところ注意喚起やアップデートの呼びかけはないが、23日に公開された修正版では、ywcvwr.dll(Webcamビュワー)、ywcupl.dll(Webcamアップロード)、kdu_v32M.dll(JPEG 2000ライブラリ)の3個のコンポーネントが更新されており、「ywcvwr.dll」「kdu_v32M.dll」は、米ヤフーのセキュリティ情報どおりの修正版であることを編集部で確認している。
(2007/08/24 ネットセキュリティニュース)
■Yahoo!メッセンジャー
http://messenger.yahoo.co.jp/
■Yahoo! Messengerへの脅威高まる(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/1179
■Yahoo! Webcam[英文](Yahoo! Messenger)
http://messenger.yahoo.com/security_update.php?id=082107
■脆弱性情報(英文)
・Yahoo! Messenger Webcam JPEG 2000 Stream Buffer Overflow Vulnerability(FrSIRT)
http://www.frsirt.com/english/advisories/2007/2917
・Yahoo! Messenger Webcam JPEG 2000 Processing Buffer Overflow(Secunia)
http://secunia.com/advisories/26501/
・VU#515968: Yahoo! Messenger webcam stream heap overflow(US-CERT)
http://www.kb.cert.org/vuls/id/515968