Yahoo! Messengerの脆弱性修正パッチ公開

米Yahoo!は、「Yahoo! Messenger 8.x」に報告された深刻な脆弱性に対処するパッチをリリースした。

[ITmedia]

　米Yahoo!のインスタントメッセージング（IM）ソフト「Yahoo! Messenger」に極めて深刻な脆弱性が見つかった問題で、Yahoo!は6月7日、この問題に対処するパッチをリリースした。

　脆弱性は、Yahoo! Messengerのバージョン8.xに報告されている。米Yahoo!のアドバイザリーでは、6月8日以前に入手したWindows PC版の新しいYahoo! Messengerを使っている場合、アップデートを適用する必要があるとしている。なお日本語版「Yahoo!メッセンジャー」の最新バージョンは7.0.0.7だが、この脆弱性の影響を受けるかどうかはWeb上では明らかにされていない。

　脆弱性はYahoo! Webcam Upload（ywcupl.dll）とYahoo! Webcam Viewer（ywcvwr.dll）のActiveXコントロールに存在する。6日の時点でコンセプト実証コードも複数公開されていた。

　Yahoo!によれば、この脆弱性を突かれると実行可能コードを導入される恐れがあるほか、チャットやIMセッションが予期せず終了したり、IEなどのアプリケーションがクラッシュする可能性がある。こうした問題は、ユーザーが気付かないうちに攻撃者のサイトを訪れて悪質なHTMLコードを参照することで誘発される。

　Yahoo!は向こう数週間、ユーザーがYahoo! Messengerにサインインすると、アップデートの適用を促すメッセージが表示されるようにする予定だという。