ニュース
» 2007年06月12日 10時28分 UPDATE

Yahoo! Messenger攻撃の原因は「広報のしゃべり過ぎ」?

McAfeeによると、パッチ公開前にYahoo! Messengerの脆弱性を突いたコードが出現したのは、広報担当者が口を滑らせたのが原因だという。

[ITmedia]

 Yahoo! Messengerの脆弱性を突いたコードがパッチ公開前に出現したのは、Yahoo!の広報担当者がうっかり口を滑らせたことが原因だったと、セキュリティ企業のMcAfeeが6月11日のブログで指摘した。

 この問題ではYahoo! Webcam UploadとYahoo! Webcam Viewerの脆弱性を突いたコンセプト実証コードが公開され、Yahoo!のパッチ公開と前後して攻撃コードが出現した

 McAfeeのブログは、「ゼロデイの脅威」について分析する一環として、この問題を紹介している。それによると、今回の脆弱性はeEyeが発見してYahoo!に通報後、「Upcoming Advisory」として概略を公表した。ところがYahoo!の広報担当者がうっかり口を滑らせ、公表されていなかった情報まで漏らしてしまったという。

 この時点で公開された情報はまだ、ゼロデイの脅威と呼ぶに足るものではなかったが、研究者が1時間足らずで脆弱性を見つけ出すにはこれで十分だったとMcAfeeは解説。その結果、セキュリティメーリングリストのFull Disclosureにコンセプト実証コードが掲載され、攻撃が発生した。

 Yahoo!は48時間という驚異的な速さでパッチを公開したが、まだパッチを適用していないユーザーが多数いることは事実だとMcAfeeは指摘している。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -