Yahoo! Jukeboxにゼロデイ攻撃発生――ActiveX無効化で対策を

「Yahoo! Music Jukebox」の脆弱性を突いたゼロデイ攻撃が発生。マルウェアに利用されるのは時間の問題だという。

[ITmedia]

　米Yahoo!の音楽ソフト「Yahoo! Music Jukebox」の脆弱性を突いたゼロデイ攻撃が発生したとして、セキュリティ各社が2月5日、ブログやアドバイザリーで管理者らに対策を促している。

　US-CERTのアドバイザリーによると、Yahoo! Music JukeboxのYahoo! MediaGrid ActiveXコントロール（mediagrid.dll）とYMP Datagrid ActiveXコントロール（datagrid.dll）にバッファオーバーフローの脆弱性が存在する。攻撃者が細工を施したHTML文書をユーザーに閲覧させることにより、リモートで任意のコードを実行することが可能になる。

　McAfeeは、この脆弱性を悪用して実際に機能するエクスプロイトが開発され、各種フォーラムで出回っていると報告。マルウェアに利用されるのは時間の問題だと予想している。

　影響を受けるActiveXコントロールのmediagridax.dll 2.2.2.056とdatagrid.dll 2.2.2.056は、Yahoo Music Jukebox最新版の2.2.2.056と、旧バージョンのYahoo Messengerに使われているという。

　当面の回避策として、Internet Explorer（IE）でキルビットを設定して脆弱性のあるActiveXコントロールを無効にする対策が推奨されている。