Yahoo! Widgetsに脆弱性、米Yahoo!がアップデート公開

デスクトップツールのYahoo! Widgets 4.xに深刻な脆弱性が見つかった。

» 2007年07月30日 08時17分 公開
[ITmedia]

 デスクトップツールの「Yahoo! Widgets」に深刻な脆弱性が見つかり、米Yahoo!は問題を修正したアップデートバージョン4.0.5をリリースした。

 セキュリティ企業のSecuniaによると、脆弱性が存在するのはYahoo! Widgets 4.xで、ほかのバージョンも影響を受ける可能性がある。危険度評価は5段階で上から2番目に高い「Highly critical」となっている。

画像 更新版を公開したYahoo! Widgets

 脆弱性は、YDPCTL.YDPControl.1(YDPCTL.dll)ActiveXコントロールで「GetComponentVersion()」メソッドを処理する際の境界エラーに起因する。悪用されるとスタックベースのバッファオーバーフローを誘発され、任意のコードを実行される恐れがある。

 米Yahoo!のサポートサイトによれば、この問題はユーザーに悪質なHTMLコードを閲覧させることにより、悪用される恐れがある。脆弱性修正のためアップデート適用が必要なのは、2007年7月20日以前にインストールしたWindows版のYahoo! Widgets。

 なお、日本のヤフーが提供している「Yahoo!ウィジェット」はバージョン3.1となっているが、脆弱性の影響は不明。米Yahoo!のサイトでは「向こう数週間で世界各国のユーザーに、新バージョンへのアップデートを促す予定」だと説明している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ