logo

米ヤフーのIMにActiveXの脆弱性--研究者らが警告

文:Robert Vamosi(Special to CNET News.com) 翻訳校正:編集部2008年02月05日 11時15分
  • このエントリーをはてなブックマークに追加

 FacebookやMySpaceの画像アップロードツールにActiveXの脆弱性が見つかったばかりだが、これにつづきYahoo Instant MessengerとYahoo Messengerにも同じ脆弱性が見つかっている。研究者らが米国時間2月4日に警告を発した。

 米Yahooが提供するmediagrid.dll 2.2.2 56に存在する境界エラーの脆弱性を報告したのは研究者のElazar Broad氏。Broad氏はKrystian Kloskowski氏とともに、Yahooのdatagrid.dll 2.2.2 56に存在する2つめの脆弱性についても報告している。さらに、Kloskowski氏はdatagrid.dll 2.2.2 56に存在し、AddImage機能に影響するバッファオーバーフローを明らかにしている。

 脆弱性は3つとも、Yahoo Instant Messengerのバージョン3.5、Yahoo Messengerのバージョン4.0、5.0、5.5に存在し、攻撃の脅威にさらされている。

 現段階では、これらの脆弱性を悪用するエクスプロイトコードは出回っていない。また、脆弱性を修正するパッチも用意されていない。

 ActiveXコントロールを必要の都度有効化することで脆弱性を回避できる。Microsoftはこちらでより詳細な情報を提供している。

 問題のActiveXコントロールのクラス識別子 (CLSID) はYahoo MediaGridが「CLSID 22FD7C0A-850C-4A53-9821-0B0915C96139」、Yahoo DataGridが「CLSID 5F810AFC-BB5F-4416-BE63-E01DD117BD6C2」。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

-PR-企画特集