Yahoo! 従業員の口から『Yahoo! Messenger』の脆弱性が明らかに

うかつに口を滑らせてはいけない場面、というものがある。

Yahoo! (NASDAQ:YHOO) のインスタント メッセージ (IM) プログラム『Yahoo! Messenger』に存在する脆弱性の内容が、Yahoo! の従業員の口から漏れた。IT 系出版社とのインタビューで、つい喋りすぎてしまったようだ。

悪質ソフトウェアの作成者は、同プログラマのコメントから脆弱性の詳細を把握し、警告がゼロデイ攻撃に変わるのに、さほど時間はかからなかった。

問題の脆弱性は、Yahoo! Messenger が備える Web カメラ画像のアップロードおよび表示機能が用いている『ActiveX』コントロールに存在する。軽率なインタビュー受け答え後間もなく、セキュリティ会社 Secunia が問題の脆弱性のすべてを事細かに記述し、警告を出した。

Yahoo! は7日午後遅く、該当の不具合を修正したとの通知を出した。通知の中には次のような記述がある。「Yahoo! Messenger のユーザーすべてに、messenger.yahoo.com から最新版 (バージョン 8.1.0.401) をダウンロードするよう推奨する。今後数週間に渡り、ユーザーが同サービスにログインした際、最新版の Yahoo! Messenger に更新するよう促す」

パッチを適用していない Yahoo! Messenger を用いた場合、該当の脆弱性によって、遠隔的に任意コード実行の攻撃を受ける恐れがある。この際のコードは、ローカルユーザーと同じ権限で動作する。したがって、ファイルの複製や削除のほか、キーロガーといったソフトウェアのインストールも許しかねない。

問題のインタービュー記事が掲載されたその日のうちに、該当の脆弱性を悪用した攻撃が現われた。バッファオーバーフローを引き起こして攻撃対象のコンピュータにアクセスするコードを備えた Web サイトに、無警戒のユーザーを誘導するというものだ。

同脆弱性を追跡していたセキュリティ会社の eEye Digital Security も警告を発し、危険度を3段階中の最大と評価した。eEye の共同創設者で CTO (最高技術責任者) の Marc Maiffret 氏は、思慮を欠いた発言に興味を示したものの、特に驚いた様子はなかった。

Maiffret 氏は取材に対し、「大半のソフトウェア ベンダーは、10年前の Microsoft の状態にある。単にセキュリティと脆弱性露出という問題に触れる機会が十分でないことから、多くの単純な間違いを犯してしまう」と語る。単純な間違いとは、脆弱性を漏らすような事態のことだ。Microsoft は月例更新前に発表する先行情報で、対応予定の問題が明らかにならないよう、必ず曖昧な表現を故意に用いている。