デスクトップツールのYahoo! Widgets 4.xに深刻な脆弱性が見つかった。
デスクトップツールの「Yahoo! Widgets」に深刻な脆弱性が見つかり、米Yahoo!は問題を修正したアップデートバージョン4.0.5をリリースした。
セキュリティ企業のSecuniaによると、脆弱性が存在するのはYahoo! Widgets 4.xで、ほかのバージョンも影響を受ける可能性がある。危険度評価は5段階で上から2番目に高い「Highly critical」となっている。
脆弱性は、YDPCTL.YDPControl.1(YDPCTL.dll)ActiveXコントロールで「GetComponentVersion()」メソッドを処理する際の境界エラーに起因する。悪用されるとスタックベースのバッファオーバーフローを誘発され、任意のコードを実行される恐れがある。
米Yahoo!のサポートサイトによれば、この問題はユーザーに悪質なHTMLコードを閲覧させることにより、悪用される恐れがある。脆弱性修正のためアップデート適用が必要なのは、2007年7月20日以前にインストールしたWindows版のYahoo! Widgets。
なお、日本のヤフーが提供している「Yahoo!ウィジェット」はバージョン3.1となっているが、脆弱性の影響は不明。米Yahoo!のサイトでは「向こう数週間で世界各国のユーザーに、新バージョンへのアップデートを促す予定」だと説明している。
Copyright © ITmedia, Inc. All Rights Reserved.