Yahoo! Messenger攻撃の原因は「広報のしゃべり過ぎ」？

[ITmedia]

　Yahoo! Messengerの脆弱性を突いたコードがパッチ公開前に出現したのは、Yahoo!の広報担当者がうっかり口を滑らせたことが原因だったと、セキュリティ企業のMcAfeeが6月11日のブログで指摘した。

　この問題ではYahoo! Webcam UploadとYahoo! Webcam Viewerの脆弱性を突いたコンセプト実証コードが公開され、Yahoo!のパッチ公開と前後して攻撃コードが出現した。

　McAfeeのブログは、「ゼロデイの脅威」について分析する一環として、この問題を紹介している。それによると、今回の脆弱性はeEyeが発見してYahoo!に通報後、「Upcoming Advisory」として概略を公表した。ところがYahoo!の広報担当者がうっかり口を滑らせ、公表されていなかった情報まで漏らしてしまったという。

　この時点で公開された情報はまだ、ゼロデイの脅威と呼ぶに足るものではなかったが、研究者が1時間足らずで脆弱性を見つけ出すにはこれで十分だったとMcAfeeは解説。その結果、セキュリティメーリングリストのFull Disclosureにコンセプト実証コードが掲載され、攻撃が発生した。

　Yahoo!は48時間という驚異的な速さでパッチを公開したが、まだパッチを適用していないユーザーが多数いることは事実だとMcAfeeは指摘している。