Yahooが、IMとチャット用のパッチをリリース

　米Yahooは5月30日（米国時間）、Yahoo! Instant MessengerとYahoo! Chatクライアント用のセキュリティパッチをリリースした。両クライアントに見つかった、バッファオーバーフローに対する脆弱箇所を修正するもの。

　Yahooでは現在、ユーザーがIMネットワークにログオンしたり、チャットルームに入室する際に、パッチのインストールを促すメッセージを表示している。パッチは、同社ウェブサイトにもポストされている。

　バッファオーバーフローは、CやC++で書かれたコンピュータプログラムによく見られるセキュリティ上の脆弱性で、プログラムが確保したメモリ容量以上の情報が入力されてしまうと、メモリ領域があふれて動作が不安定になるというもの。

　Yahoo側の説明では、Yahoo! IMとYahoo! Chatにバッファオーバーフロー攻撃が仕掛けられると、数々の問題が生じるという。たとえば、ユーザーが不本意にログアウトさせられる可能性があり、さらに深刻なものでは、実行可能コードがインストールされ、悪意のあるプログラマがユーザーのマシンを制御して、ファイルを削除するなどの混乱を起こすといった恐れもある。

　こうした攻撃は、ユーザーがたとえば、IMメッセージ中のコードが含まれたウェブサイトへのリンクをクリックするなどして、悪意のあるHTMLコードを開いた場合に、はじめて可能になる。ただしYahooでは、このような方法で同社のIMもしくはチャットユーザーが被害を受けた事例はまだないとしている。

　Yahooは複数のセキュリティコミュニティのメンバーから、この脆弱性についての報告を受けた。そして、30日には、Bugtraqセキュリティメーリングリストとカーネギーメロン大学のCERT（Computer Emergency Response Team）コーディネーションセンターに、この脆弱性の詳細とバグフィクスを送信したと、同社の代表者は説明している。