Yahoo! Messengerにまた脆弱性、任意のコード実行の恐れも

Yahoo! Messengerの新たなセキュリティパッチが公開。一方、チャットルームは「キャプチャ」の文字解きをしないと入れないようになった。

[ITmedia]

　米Yahoo!のインスタントメッセージング（IM）ソフト「Yahoo! Messenger」にまた新たな脆弱性が発覚し、8月29日、セキュリティアップデートがリリースされた。

　Yahoo!の告知によると、アップデートの対象となるのは8月29日以前にインストールされたWindows版のYahoo! Messenger。ActiveXコントロールにバッファオーバーフローの脆弱性が存在する。

　攻撃者がユーザーを自分のサイトにおびき寄せるなどして悪質なHTMLコードを参照させると、セッションが予期せず終了したり、Internet ExplorerなどのWebアプリケーションがクラッシュしたり、場合によっては任意のコードを実行される恐れもある。

　Yahoo!ではこれまでのところ、この問題を実際に悪用するコードが公開されたとの報告は受けていないという。

　Secuniaのアドバイザリーによれば、影響を受けるのはYahoo! Messenger 8.x。アップデート版の8.1.0.419で問題が修正されている。深刻度は5段階で上から2番目に高い「Highly critical」にランク付けられている。

　これとは別に、Yahoo!は29日、Yahoo! Messengerのチャットルームに「キャプチャ」と呼ばれる認証プロセスを導入し、自動化されたボットの侵入を防ぐ措置を取ったことをブログで明らかにした。

　Yahoo! Messengerでチャットルームに入ると、まずアカウントを確認するためリンクをクリックするよう促され、「Chat Room Verification」という新しいウィンドウが現れて、変形文字を読み取って入力するよう求められる。このプロセスは、チャットルームを切り替えるごとに必要になるという。