ニュース
Yahoo! Jukeboxにゼロデイ攻撃発生――ActiveX無効化で対策を
「Yahoo! Music Jukebox」の脆弱性を突いたゼロデイ攻撃が発生。マルウェアに利用されるのは時間の問題だという。
米Yahoo!の音楽ソフト「Yahoo! Music Jukebox」の脆弱性を突いたゼロデイ攻撃が発生したとして、セキュリティ各社が2月5日、ブログやアドバイザリーで管理者らに対策を促している。
US-CERTのアドバイザリーによると、Yahoo! Music JukeboxのYahoo! MediaGrid ActiveXコントロール(mediagrid.dll)とYMP Datagrid ActiveXコントロール(datagrid.dll)にバッファオーバーフローの脆弱性が存在する。攻撃者が細工を施したHTML文書をユーザーに閲覧させることにより、リモートで任意のコードを実行することが可能になる。
McAfeeは、この脆弱性を悪用して実際に機能するエクスプロイトが開発され、各種フォーラムで出回っていると報告。マルウェアに利用されるのは時間の問題だと予想している。
影響を受けるActiveXコントロールのmediagridax.dll 2.2.2.056とdatagrid.dll 2.2.2.056は、Yahoo Music Jukebox最新版の2.2.2.056と、旧バージョンのYahoo Messengerに使われているという。
当面の回避策として、Internet Explorer(IE)でキルビットを設定して脆弱性のあるActiveXコントロールを無効にする対策が推奨されている。
関連記事
- 画像アップローダの脆弱性、FacebookやYahoo! Jukeboxにも影響波及
- MySpaceの画像アップデートツールに脆弱性
- Yahoo!音楽サービス引き継ぎ先は、MSとの応酬経験済みRealNetworks
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.