Yahoo! 従業員の口から『Yahoo! Messenger』の脆弱性が明らかに

この記事のURLhttp://japan.internet.com/webtech/20070611/12.html

うかつに口を滑らせてはいけない場面、というものがある。

Yahoo! (NASDAQ:YHOO) のインスタント メッセージ (IM) プログラム『Yahoo! Messenger』に存在する脆弱性の内容が、Yahoo! の従業員の口から漏れた。IT 系出版社とのインタビューで、つい喋りすぎてしまったようだ。

悪質ソフトウェアの作成者は、同プログラマのコメントから脆弱性の詳細を把握し、警告がゼロデイ攻撃に変わるのに、さほど時間はかからなかった。

問題の脆弱性は、Yahoo! Messenger が備える Web カメラ画像のアップロードおよび表示機能が用いている『ActiveX』コントロールに存在する。軽率なインタビュー受け答え後間もなく、セキュリティ会社 Secunia が問題の脆弱性のすべてを事細かに記述し、警告を出した。

Yahoo! は7日午後遅く、該当の不具合を修正したとの通知を出した。通知の中には次のような記述がある。「Yahoo! Messenger のユーザーすべてに、messenger.yahoo.com から最新版 (バージョン 8.1.0.401) をダウンロードするよう推奨する。今後数週間に渡り、ユーザーが同サービスにログインした際、最新版の Yahoo! Messenger に更新するよう促す」

パッチを適用していない Yahoo! Messenger を用いた場合、該当の脆弱性によって、遠隔的に任意コード実行の攻撃を受ける恐れがある。この際のコードは、ローカルユーザーと同じ権限で動作する。したがって、ファイルの複製や削除のほか、キーロガーといったソフトウェアのインストールも許しかねない。

問題のインタービュー記事が掲載されたその日のうちに、該当の脆弱性を悪用した攻撃が現われた。バッファオーバーフローを引き起こして攻撃対象のコンピュータにアクセスするコードを備えた Web サイトに、無警戒のユーザーを誘導するというものだ。

同脆弱性を追跡していたセキュリティ会社の eEye Digital Security も警告を発し、危険度を3段階中の最大と評価した。eEye の共同創設者で CTO (最高技術責任者) の Marc Maiffret 氏は、思慮を欠いた発言に興味を示したものの、特に驚いた様子はなかった。

Maiffret 氏は取材に対し、「大半のソフトウェア ベンダーは、10年前の Microsoft の状態にある。単にセキュリティと脆弱性露出という問題に触れる機会が十分でないことから、多くの単純な間違いを犯してしまう」と語る。単純な間違いとは、脆弱性を漏らすような事態のことだ。Microsoft は月例更新前に発表する先行情報で、対応予定の問題が明らかにならないよう、必ず曖昧な表現を故意に用いている。

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。