｜ トップページ Webビジネス Eコマース Webファイナンス Webマーケティング パブリック Webテクノロジー 携帯・ワイヤレス Linux Today Linux Tutorial J.I.C.ブログ 転職ならen 派遣ならen アルバイトならen ＩＴ求人情報 今日のヘッドライン 週間ヘッドライン 求人情報はe-aidem ロレックス 合宿免許 フォトコミュニティ ストックフォト クリップアート イラスト イベントカレンダー 書評「IT の耳」 出張・接待検索 ニュースガジェット 新規登録 変更・解除 オプトインメールの登録・変更・解除 パートナーサイト 転職ならエン 就職ならen 求人ならen 履歴書ならen アルバイトならエン CRM/SFAならオラクル 会社概要（地図） グループ会社 株式会社アエリア (株)サンゼロミニッツ 株式会社エアネット お問い合わせ 広告掲載について リンクについて 著作権について その他お問い合わせ 利用規約 個人情報保護方針 Webテクノロジー 2007年6月11日 09:00 Webテクノロジー・バックナンバー Yahoo! 従業員の口から『Yahoo! Messenger』の脆弱性が明らかに 著者: Andy Patrizio 　オリジナル版を読む プリンター用 記事を転送 ▼2007年6月11日 09:00 付の記事 ■海外internet.com発の記事 うかつに口を滑らせてはいけない場面、というものがある。 Yahoo! (NASDAQ:YHOO) のインスタント メッセージ (IM) プログラム『Yahoo! Messenger』に存在する脆弱性の内容が、Yahoo! の従業員の口から漏れた。IT 系出版社とのインタビューで、つい喋りすぎてしまったようだ。 悪質ソフトウェアの作成者は、同プログラマのコメントから脆弱性の詳細を把握し、警告がゼロデイ攻撃に変わるのに、さほど時間はかからなかった。 問題の脆弱性は、Yahoo! Messenger が備える Web カメラ画像のアップロードおよび表示機能が用いている『ActiveX』コントロールに存在する。軽率なインタビュー受け答え後間もなく、セキュリティ会社 Secunia が問題の脆弱性のすべてを事細かに記述し、警告を出した。 Yahoo! は7日午後遅く、該当の不具合を修正したとの通知を出した。通知の中には次のような記述がある。「Yahoo! Messenger のユーザーすべてに、messenger.yahoo.com から最新版 (バージョン 8.1.0.401) をダウンロードするよう推奨する。今後数週間に渡り、ユーザーが同サービスにログインした際、最新版の Yahoo! Messenger に更新するよう促す」 パッチを適用していない Yahoo! Messenger を用いた場合、該当の脆弱性によって、遠隔的に任意コード実行の攻撃を受ける恐れがある。この際のコードは、ローカルユーザーと同じ権限で動作する。したがって、ファイルの複製や削除のほか、キーロガーといったソフトウェアのインストールも許しかねない。 問題のインタービュー記事が掲載されたその日のうちに、該当の脆弱性を悪用した攻撃が現われた。バッファオーバーフローを引き起こして攻撃対象のコンピュータにアクセスするコードを備えた Web サイトに、無警戒のユーザーを誘導するというものだ。 同脆弱性を追跡していたセキュリティ会社の eEye Digital Security も警告を発し、危険度を3段階中の最大と評価した。eEye の共同創設者で CTO (最高技術責任者) の Marc Maiffret 氏は、思慮を欠いた発言に興味を示したものの、特に驚いた様子はなかった。 Maiffret 氏は取材に対し、「大半のソフトウェア ベンダーは、10年前の Microsoft の状態にある。単にセキュリティと脆弱性露出という問題に触れる機会が十分でないことから、多くの単純な間違いを犯してしまう」と語る。単純な間違いとは、脆弱性を漏らすような事態のことだ。Microsoft は月例更新前に発表する先行情報で、対応予定の問題が明らかにならないよう、必ず曖昧な表現を故意に用いている。 関連記事 ライブドアも記事提供〜ヤフー、エンタメ系ニュースサイト「ネタりか」 『IE』と『Firefox』にさらに未解決の脆弱性 Yahoo! みんなの政治、議員への評価・コメントを投稿できる機能を追加 ヤフー、携帯電話向けの新サービス「Yahoo!モバメル探」を提供開始 「Yahoo! ビジネスエクスプレス」、携帯向け商用サイト登録審査開始 関連テーマ インタビュー users ★最新トップニュース オムニチュア、ユーザーカンファレンス「Omniture Summit Tokyo 2008」を開催（Webマーケティング 5月20日 18:20） オムニチュア株式会社は、2008年5月20日、国内では初の開催となる、同社のユーザーカンファレンス「Omniture Summit Tokyo 2008」を開催した。 資生堂、SAP ERP 6.0 を導入（Webファイナンス 5月20日 18:10） 今後2年以内を目安に、SAP ERP 会計システムを国内関係子会社に順次導入していく予定。 BIGLOBE が「マルチセキュリティゲートウェイ」サービスを提供開始（Webビジネス 5月20日 18:00） NEC ビッグローブ（BIGLOBE）は2008年5月20日、企業向けにファイアウォール、Web フィルタリング、アンチウイルス、アンチスパムといった複数のセキュリティ機能をひとつにまとめた統合型セキュリティ対策サービス「マルチセキュリティゲートウェイ」の提供を開始した。 YouTube、イーライセンスと包括許諾契約を締結（Webビジネス 5月20日 18:00） YouTube と、音楽著作権管理のイーライセンスは2008年5月20日、包括利用許諾契約を締結したと発表した。 エプソン、常設用からモバイルまでビジネスプロジェクタ9機種発表（Webテクノロジー 5月20日 17:50） セイコーエプソンは、2008年5月20日、オフィリオプロジェクタの新製品として、全9モデルを、エプソン販売を通じて6月上旬から順次発売する、と発表した。 オススメのＩＴ系求人情報【毎週月曜日更新】 デイリーリサーチ ／ DLサイト OnlineResearchPortal　(リサーチデータバンク) モバイルリサーチ with goo Youtube MySpace mixi Mozilla アクセス解析 BlackBerry テーマ一覧はこちら 第1回インターネットコムマーケティングセミナー「新規クライアントを効率的に獲得する Web マーケティング手法とは」(3月26日)多数のご参加ありがとうございました DevX CodeGuru developer.com ブログ一覧 【最新テクノロジーの意外な処方箋】 カメラ内蔵の標識（5月20日） 【ベンチャー専門家の目利きブログ「なぜこの企業は伸びるのか?」】 「日本を代表する危機管理センターを目指す！！」/ （5月20日） 【データメーション】 消費者のインターネット利用実態（5月20日） 【Skypeブログ出張版】 Skypeにも対応、統合アドレス帳Ripplex（5月19日） 【Graphic Design Forum】 Lemon Poppy Seed （5月19日） 【ジュピターメディア創設者がITを斬る】 古き良きインターネットの時代（5月19日） DevX Eclipse Web Tools PlatformとMavenの統合（5月20日） エンジニア転職ノウハウ開発室 30代技術者が不満に感じる同年代との学歴・給与格差（5月20日） アイレップの SEM フロンティア NTT ドコモ×Google でモバイル SEM 戦略はどう変わる？（5月20日） IT マネジメント IT業界に女性は多すぎるのか？（5月20日） 百式のネットビジネス研究 フィードバックに特化したシンプルな掲示板「backboard」（5月20日） ウィジェット・ガジェットビジネス研究所 ウィジェット、ガジェットをビジネスにしている会社（5月19日） 15 seconds AJAX SlideShowおよびTreeViewコントロールを使用してスライドショーを作成する（5月16日） 最新アフィリエイト事例にみる成功の法則 アフィリエイト市場動向（5月16日） 最新ハイテク講座 全自動からオゾンの力まで！ハイテク洗濯機の最新事情（5月16日） 週刊-サイト別アクセス状況データ ビデオリサーチインタラクティブ調査(月間インターネットオーディエンスデータ)（5月15日） セキュリティチャネル テレコムチャネル サーチエンジンウォッチ 海外のインターネットコム　アメリカ｜韓国｜ドイツ｜トルコ 関連企業のサイト：ストックフォト イラスト ネットストリート ホテル予約サイト タウン情報 出張 事業継承 シミュレーション トランクルーム 優待映画チケット 田舎暮らしガイド オリジナルTシャツ ニタコエ Copyright 2008 Jupitermedia Corporation All Rights Reserved.