米ヤフー、Yahoo Messengerの重要なセキュリティパッチをリリース

　米Yahooが、「Yahoo Messenger」の重要なセキュリティパッチを公開した。同ソフトウェアの「Webcam」ActiveXコントロールに存在する脆弱性を悪用したゼロデイ攻撃に対処する。

　Yahoo Messengerを狙う複数のエクスプロイトコードが米国時間6月6日には存在している。これは、eEye Digital Securityが最初にこの脆弱性をYahooに報告してから24時間も経っていなかった。

　Yahoo Messengerを使用しているユーザーが悪質なウェブサイトを訪問したり、悪質なHTMLコードを表示したりするとコンピュータが危険にさらされる恐れがある。それから攻撃者は、Yahoo Messengerと一緒にソフトウェアパッケージとしてダウンロードされるYahoo Webcam ActiveXコントロールに存在する脆弱性を悪用することが可能になる。

　eEye Digital Securityは、先週に入ってこの脆弱性を発見してYahooに報告していた。eEyeはこの問題の深刻度を最高ランクに設定しており、別のセキュリティベンダーであるSecuniaでも、同社の最高ランクである「極めて重大（extremely critical）」に分類している。Yahooは7日のアップデートでこの問題を修正するパッチを提供した。

　Yahooはこの問題に関し、8日以前にYahoo Messengerを入手したユーザー全員に対し、アップデートをダウンロードするよう呼びかけている。

　Yahooは12月にも、Yahoo MessengerにあったActiveXの別の脆弱性に対処する「非常に重大」なアップデートを公開している。この脆弱性はYahooのサービススイート用ActiveXコントロールにあったもので、悪用されるとバッファオーバーフロー攻撃を受ける恐れがあった。