McAfeeによると、パッチ公開前にYahoo! Messengerの脆弱性を突いたコードが出現したのは、広報担当者が口を滑らせたのが原因だという。
Yahoo! Messengerの脆弱性を突いたコードがパッチ公開前に出現したのは、Yahoo!の広報担当者がうっかり口を滑らせたことが原因だったと、セキュリティ企業のMcAfeeが6月11日のブログで指摘した。
この問題ではYahoo! Webcam UploadとYahoo! Webcam Viewerの脆弱性を突いたコンセプト実証コードが公開され、Yahoo!のパッチ公開と前後して攻撃コードが出現した。
McAfeeのブログは、「ゼロデイの脅威」について分析する一環として、この問題を紹介している。それによると、今回の脆弱性はeEyeが発見してYahoo!に通報後、「Upcoming Advisory」として概略を公表した。ところがYahoo!の広報担当者がうっかり口を滑らせ、公表されていなかった情報まで漏らしてしまったという。
この時点で公開された情報はまだ、ゼロデイの脅威と呼ぶに足るものではなかったが、研究者が1時間足らずで脆弱性を見つけ出すにはこれで十分だったとMcAfeeは解説。その結果、セキュリティメーリングリストのFull Disclosureにコンセプト実証コードが掲載され、攻撃が発生した。
Yahoo!は48時間という驚異的な速さでパッチを公開したが、まだパッチを適用していないユーザーが多数いることは事実だとMcAfeeは指摘している。
Copyright © ITmedia, Inc. All Rights Reserved.