画像アップローダの脆弱性、Facebookなどにも影響波及

MySpace、Facebook、Yahoo! Music JukeboxのActiveXコントロールに深刻な脆弱性があり、エクスプロイトも公開されているという。

» 2008年02月05日 08時35分 公開
[ITmedia]

 米人気ソーシャルネットワーキングサイト(SNS)MySpaceの画像アップロードツールに関して報告された脆弱性は、Facebookなどにも影響が及ぶことが分かった。エクスプロイトコードが公開されたとの情報もあり、US-CERTやセキュリティ各社が2月4日、アラートを出して注意を促している。

 US-CERTによると、この脆弱性はFacebookやMySpaceが使っているAurigma ImageUploader ActiveXコントロールのバッファオーバーフロー問題に起因する。

 同ActiveXコントロールはInternet Explorer(IE)経由で画像をアップロードするために利用されているが、攻撃者が脆弱性を悪用すると、細工を施したHTML文書をユーザーに閲覧させ、リモートで任意のコードを実行することが可能になる。エクスプロイトコードも公開されているという。

 セキュリティソフトメーカー米Symantecは、ActiveXコントロールに関連して、ここ1週間で6件の脆弱性情報が公開されたと報告。MySpaceとFacebookに加え、Yahoo! JukeboxのMediaGridとDataGrid ActiveXコントロールにも脆弱性が存在するとしている。

 デンマークのSecuniaも、先日出したMySpace Uploader関連のアドバイザリーに加え、Facebook Photo UploaderとYahoo! JukeboxのActiveXコントロールの脆弱性に関するアドバイザリーを新たに公開。Yahoo! Jukeboxの脆弱性については、ワーキングエクスプロイトが公開されていると指摘した。

 US-CERTによれば、現時点でこの問題の実質的な解決策は存在しない。各社のアドバイザリーでは、影響を受けるActiveXコントロールを無効にすることを回避策として挙げている。

関連キーワード

脆弱性 | MySpace | Facebook | Yahoo! | ActiveX | エクスプロイト


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ