セキュリティ・ベンダーのデンマークSecuniaなどは12月15日,米Yahoo!の「Yahoo! Messenger」にセキュリティ・ホールが見つかったことを明らかにした。Yahoo! Messengerをインストールしたパソコンでは,細工が施されたWebページにアクセスするだけで悪質なプログラムを実行される恐れがある。対策は最新版へのアップグレード。

 影響を受けるのはWindows版のみ。2006年11月2日以前に公開されたWindows版Yahoo! Messengerに含まれるActiveXコントロール「YMMAPI.YMailAttach(ymmapi.dll)」には,バッファ・オーバーフローのセキュリティ・ホールが存在することが明らかとなった。このため,このコントロールを呼び出すようなWebページにInternet Explorer(IE)でアクセスすると,悪質なプログラムを勝手に実行される恐れがある。

 対策は,セキュリティ・ホールを修正した最新版にアップグレードすること。最新版は,Yahoo!のWebページからインストールできる。また,Yahoo! Messengerにサインインするたびにアップグレードが促されるので,そのときにアップグレードすることもできる。

 なおYahoo!が公開したセキュリティ情報によると,修正済みのActiveXコントロールのクラス識別子(CLSID)は{AA218328-0EA8-4D70-8972-E987A9190FF4}で,バージョンは「2005.1.1.4」あるいはそれ以降であるという。

Secuniaの情報
Yahoo!の情報