「Yahoo! Messenger」を悪用するコンセプト実証コード出現

問題の機能はユーザーのシステムに侵入する目的で、マルウェアに利用される恐れがあるという。

[ITmedia]

　セキュリティ企業のTrend Microによると、Yahoo!のインスタントメッセージング（IM）ソフト「Yahoo! Messenger」を標的とした新たなコンセプト実証（PoC）コードが出現した。

　Trend MicroによるとこのPoCコードは、Yahoo! Messengerの「FT60.DLL」というコンポーネント（バージョン1.0.0.4）を使ってインターネットから特定のファイルをダウンロードできてしまうことを実証するもの。この機能はユーザーのシステムに侵入する目的で、マルウェアに利用される恐れがあるという。

　この問題は、Windows XP SP2とYahoo! Messengerの最新バージョン8.1.0.421を使った実験で確認された。ユーザーが問題のサイトを訪れると、まずActiveXの警告が表示され、ActiveXコンポーネントの実行を許可すると、そのプログラムやサイトが指定したファイルがダウンロードされるという。

　Yahoo!サービスをめぐっては、Yahoo! MessengerやYahoo! Widgetsの脆弱性が最近相次いで発覚している。