« NHK、テレビやラジオ番組のインターネット配信を計画 | Main | BeatJamがPSP対応に »

›2 21, 2005

Yahoo! Messengerに2つの脆弱性

[ PCニュース ]

 使ってないソフトなのでどうでも良いわけですが。1個目の脆弱性はファイル名に空白文字を沢山並べて.exeとする手法と同じなのかな?
 2個目の脆弱性は悪意のあるping.exeが置かれているという前提条件のハードルが余りに高い気がする。

 1つ目の脆弱性は、長い名前のファイルを転送した際にファイル名が全て表示されないため、ファイル名を偽装できるというもの。拡張子を表示しない標準設定のままだと、脆弱性を悪用されてしまう。
 
 2つ目の脆弱性は、「Program Files」にインストールしたYahoo! Messengerにおいて権限の上昇が発生するというもの。接続テストの段階で同ソフトの「Audio Setup Wizard」が「ping.exe」を起動してしまうことが原因で、Yahoo! Messengerのディレクトリに悪意のあるping.exeが設置されることによって、サウンド設定画面を表示した時に任意のコードが実行される可能性がある。ただし、この脆弱性は、Program Files以外がインストールフォルダであれば、この脆弱性は発生しないとしている。

Yahoo! Messengerに2つの脆弱性、国内版は22日に修正バージョンを提供
窓の杜 - 【NEWS】「Yahoo!メッセンジャー」に2つの脆弱性が発見、日本語版は未修正

-------
追記

窓の杜 - 【NEWS】2つの脆弱性を修正した「Yahoo!メッセンジャー」の最新日本語ベータ版が公開


Posted by kroko 0 Comments: / 0 TrackBack
Comments
Post a comment












Remember personal info?