米ヤフーのIMにActiveXの脆弱性--研究者らが警告

　FacebookやMySpaceの画像アップロードツールにActiveXの脆弱性が見つかったばかりだが、これにつづきYahoo Instant MessengerとYahoo Messengerにも同じ脆弱性が見つかっている。研究者らが米国時間2月4日に警告を発した。

　米Yahooが提供するmediagrid.dll 2.2.2 56に存在する境界エラーの脆弱性を報告したのは研究者のElazar Broad氏。Broad氏はKrystian Kloskowski氏とともに、Yahooのdatagrid.dll 2.2.2 56に存在する2つめの脆弱性についても報告している。さらに、Kloskowski氏はdatagrid.dll 2.2.2 56に存在し、AddImage機能に影響するバッファオーバーフローを明らかにしている。

　脆弱性は3つとも、Yahoo Instant Messengerのバージョン3.5、Yahoo Messengerのバージョン4.0、5.0、5.5に存在し、攻撃の脅威にさらされている。

　現段階では、これらの脆弱性を悪用するエクスプロイトコードは出回っていない。また、脆弱性を修正するパッチも用意されていない。

　ActiveXコントロールを必要の都度有効化することで脆弱性を回避できる。Microsoftはこちらでより詳細な情報を提供している。

　問題のActiveXコントロールのクラス識別子 (CLSID) はYahoo MediaGridが「CLSID 22FD7C0A-850C-4A53-9821-0B0915C96139」、Yahoo DataGridが「CLSID 5F810AFC-BB5F-4416-BE63-E01DD117BD6C2」。