Yahoo! Messengerにゼロデイの脆弱性

Yahoo! Messengerに極めて深刻な脆弱性が報告され、コンセプト実証コードも公開された。

» 2007年06月08日 08時45分 公開
[ITmedia]

 Yahoo!のインスタントメッセージング(IM)ソフト「Yahoo! Messenger」に深刻な脆弱性が見つかった。コンセプト実証コードも公開されているという。

 脆弱性情報はセキュリティメーリングリストに投稿された。Secuniaのアドバイザリーによると、Yahoo! Messenger 8.xが影響を受け、悪用されるとユーザーのシステムを制御される恐れがある。なお日本語版「Yahoo!メッセンジャー」の最新バージョンは7.0.0.7だが、この脆弱性の影響を受けるかどうかは明らかにされていない。

 脆弱性はYahoo! Webcam Upload(ywcupl.dll)とYahoo! Webcam Viewer(ywcvwr.dll)に存在し、いずれもActiveXコントロールの境界エラー問題に起因する。悪用されると過度に長い文字列を送りつけることにより、任意のコードを実行される可能性がある。

 SecuniaではYahoo! Messengerのバージョン8.1.0.249でこの問題を確認し、ほかのバージョンも影響を受ける可能性があるとしている。危険度は5段階で最も高い「Extremely critical」となっている。

 現時点でパッチは公開されていない。回避策として、影響を受けるActiveXコントロールのキルビット設定が挙げられている。

 SANS Internet Storm Centerによると、この脆弱性を突いて任意のコードを実行できるコンセプト実証コードも複数公開された。近く攻撃コードが公開される可能性もあると見られる。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ