Yahoo! IMに未解決の脆弱性、ステータスメッセージを書き換えられる恐れ

[鈴木聖子，ITmedia]

　米Yahoo!のインスタントメッセージングクライアント「Yahoo! Instant Messenger（IM）」に未解決の脆弱性が見つかったとして、セキュリティ企業のBitdefenderが12月2日付で概略を公表した。

　同社のブログによると、脆弱性はYahoo! IMのバージョン11.x（最新版の11.5.0.152-usを含む）に存在する。この問題を悪用すると、リモートの攻撃者がユーザーのステータスメッセージを任意の内容に変更することができてしまうという。

　悪用の手口としては、例えば、被害者のステータスメッセージをセンセーショナルな内容に書き換えて脆弱性悪用コードを仕込んだWebページにリンクさせ、コンタクトリストに登録された相手がこのリンクをクリックするよう仕向けることにより、気付かないうちにマルウェアに感染させることができてしまう可能性がある。

　また、ステータスメッセージを書き換えてアフィリエート収入を稼ぐためのページにリンクさせる手口なども考えられる。いずれの場合も、被害者は自分のステータスメッセージが乗っ取られたことに気付かないという。

　Bitdefenderによれば、この種の攻撃は既に出回っており、ユーザーがコンタクトリストに登録されていない相手からメッセージを受信できる設定にしている場合、被害に遭う恐れがある。初期設定で無効になっている「Yahoo!コンタクトに登録されていない相手は無視する」を有効にすれば、攻撃は防げるという。

　Yahoo! IM経由で感染するマルウェアはこれまでにも出回っていたものの、ユーザー側の操作を必要とすることから感染は広がりにくかった。しかし今回の脆弱性はユーザーが何も操作しなくても悪用される恐れがあり、危険度が高いとBitdefenderは警告している。