米CERT/CCは米国時間6月5日,インスタント・メッセージング・ソフト「Yahoo!メッセンジャー(Yahoo! Messenger)」に見つかった複数のセキュリティ・ホールを警告した。セキュリティ・ホールを悪用されると,ユーザー・マシン上で任意のコードを実行される恐れがある。影響を受けるのは,Windows版のバージョン 5,0,0,1064 以前。ただし,ヤフーが公開している日本語版は影響を受けない。
セキュリティ・ホール自体は5月27日に公開されているが,影響の大きさを考慮して,今回CERT/CCは改めて警告した。ただし,このセキュリティ・ホールを悪用した攻撃に関する報告は,現段階では寄せられていないという。
今回のセキュリティ・ホールを悪用されると,WebページやHTMLメールあるいはインスタント・メッセージ中に仕込まれた不正なリンクをクリックするだけで,任意のコードやスクリプト,HTMLを実行させられる恐れがある。具体的には,Yahoo!メッセンジャーが関連付けられている「ymsgr:」から始まるURLが悪用される。
対策は,バージョン5,0,0,1065 以降にバージョンアップすること。米Yahoo!は5月22日に,セキュリティ・ホールを修正した5,0,0,1065を公開している。
ただし,日本語版ユーザーは影響を受けない。ヤフーが現在公開している正式版のバージョンは 3,5,0,850e。同社によれば,このバージョンには今回セキュリティ・ホールが見つかった機能がないために影響を受けないという。同様に,過去に公開された3,5,0,850以前も影響を受けない。
また,ベータ版として現在公開されているバージョンは5,0,0,1090a であり,セキュリティ・ホールは修正済みである。つまり,ヤフーから公開されている日本語版のYahoo!メッセンジャーについては,正式版およびベータ版のいずれも,今回のセキュリティ・ホールの影響を受けることはない。
なお,Yahoo!メッセンジャーのバージョンは,「ヘルプ」メニューの「Yahoo!メッセンジャーについて」から確認できる。
◎参考資料
◆CERT Advisory CA-2002-16 Multiple Vulnerabilities in Yahoo! Messenger(米CERT/CC)
◆Yahoo!メッセンジャーからのお知らせ(ヤフー,ページの最後に850と850以前には問題がないことが記載されている)
