米Yahooは、インスタントメッセージ(IM)ソフトウェアに見つかったセキュリティ脆弱性を修正する、同ソフトウェアのアップデートを4日(米国時間)にリリースした。
同社によると、このセキュリティ脆弱性はバッファオーバーフローに関連するものだという。バッファオーバーフローは、CやC++で書かれたコンピュータプログラムによく見られるセキュリティ上の脆弱性で、プログラムが確保したメモリ容量以上の情報が入力されてしまうと、メモリ領域があふれて動作が不安定になるというもの。
インスタントメッセージにおけるバッファオーバーフローでは、IMセッションが突然切断されたり、ブラウズソフトウェアがクラッシュしたり、実行可能コードがインストールされる恐れがある、といった問題が典型的だ。おそらく最も被害が大きいのは、実行コードがインストールされるという問題だろう。悪意のあるプログラマがユーザーのマシンを乗っ取り、ファイルを消去したり、被害者のコンピュータシステムを荒らす恐れがあるからだ。
Yahooによると、同社のIMソフトユーザーのうち、この脆弱性の影響を受けるのはごく一部だという。Internet Explorer(IE)のセキュリティ設定を「中」から「低」に変更したユーザーは、脆弱性の影響を受ける可能性がある、とYahooは説明している。その場合でも、攻撃者がユーザーのマシンにコードをインストールするには、ユーザーに悪質なHTMLコードを開かせる必要があるという。これは大抵、IM経由で送信したリンクをユーザーにクリックさせ、問題のコードを含むウェブページを開かせるというやり方で行なわれる。Yahooでは、このバッファオーバーフローを利用した実際の攻撃の報告はまだ受けていないという。
Yahooは、2日夜にセキュリティ掲示板に投稿された警告でこの脆弱性を知り、その後直ちに脆弱性の確認と対応作業に着手したと述べている。同社では、顧客が同様の脆弱性の影響を受けないよう、定期的にIMソフトウェアをアップデートすることを呼びかけている。
この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」