写真●Yahoo!ツールバー(Google Chrome版) 写真は脆弱性対策済みの最新バージョン(1.0.0.9)のもの
[画像のクリックで拡大表示]
情報処理推進機構のセキュリティセンター(IPA/ISEC)は2012年7月30日、ヤフーが提供しているWebブラウザー用プラグインソフト「Yahoo!ツールバー」(写真)の一部プラットフォーム向け特定バージョンに、細工されたページにアクセスするとツールバーが勝手に書き換えられる危険を持つ脆弱性が存在することを公表した。
脆弱性を持つのは、「Google Chrome版」および「Safari版」のYahoo!ツールバーで、バージョン1.0.0.5およびそれ以前のバージョンが対象となる。同脆弱性を悪用されると、悪意を持つ第三者によって遠隔からツールバーが書き換えられ、ユーザーがツールバーに入力した検索キーワードが第三者に漏えいしてしまう危険があるという。ツールバー上のメニューから「ツールバーを更新」を選んで最新版へアップデートすることで、攻撃を回避できるようになる。
なお、IPAによれば、同脆弱性は2012年6月28日に「keitahaga.com Keita Haga氏」からIPAが届け出を受け、JPCERT/CC(JPCERTコーディネーションセンター)が製品開発者であるヤフーと調整を実施、本日公表したものだという。IPAとJPCERT/CCは共同で、脆弱性情報公開用のWebサイト「JVN」(Japan Vulnerability Notes)を運営しており、今回の脆弱性についても同サイト上に「JVN#51769987」として情報を掲載している。
