『Yahoo! Messenger』に依然セキュリティホール

Yahoo! (NASDAQ:YHOO) が、インスタントメッセージ (IM) サービス『Yahoo! Messenger』に存在するセキュリティホール修正プログラム (パッチ) を配布したのは、ほんの2週間ほど前のこと。だが、まだセキュリティ脅威が残っていることが判明し、Yahoo! のフォローアップが続いている。

Yahoo! は5月22日、セキュリティホールを修正した Yahoo! Messenger のバージョン「5,0,0,1065」、およびパッチ「5,0,0,1066」を、自動更新通知機能『AutoUpdater』を介して配布し始めた。

しかし、コンピュータ緊急対応センター (CERT/CC) は5日、勧告を発表。配信サーバー内のバグのため、2002年5月22日以降に Yahoo! Messenger をダウンロードした場合、リモート攻撃に対して脆弱な古いバージョン「5,0,0,1036」がインストールされた可能性がある、として警告した。現在そのバグは修正されている。

問題のバグは、Yahoo! Messenger の「バッファオーバーフロー」(URI ハンドラー内) および『addview』関数に関連したものだ。

「攻撃者がこれらの脆弱性につけこんで、攻撃対象ユーザーの権限を使って不正コードを実行する可能性がある。我々はこれら脆弱性を実際にスキャンしたわけではないし、これまでのところ被害報告も受けていないが、ユーザーは 5,0,0,1065 もしくはそれ以降のバージョンにアップグレードすべきだ」と、今回の勧告の筆者 Jason Rafail 氏 (CERT 研究員) は語っている。

Yahoo! は、「AutoUpdater から通知があったら最新版にアップグレードするようユーザーに呼びかけ」たり、定期的に『messenger.yahoo.com』で最新バージョンを確認するよう促している、と述べた。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール