脆弱性を回避できるのはv6.0.0.1921 英語版のみ

　デンマークのセキュリティベンダー会社Secuniaは18日（現地時間）、「Yahoo!メッセンジャー」に2つの脆弱性があることを公表した。影響を受けるのはv6.0.0.1921未満のバージョンで、現在脆弱性を回避できるバージョンは英語最新版のv6.0.0.1921のみとなっている。日本のYahooで取得した“Yahoo! JAPAN ID”は英語版の本ソフトでは利用できないため、結果的に日本語版は最新ベータ版であるv6.0.0.1702を利用しても脆弱性を回避できない。

　1つ目の本脆弱性は、長い名前のファイルを転送した際にファイル名が全て表示されないため、ファイル形式を偽装することができるというもの。とくにエクスプローラの設定で、拡張子を表示しないように指定している場合が危険とのこと。見知らぬ人からのファイルは受け取らないようにしたり、もし受け取っても実行する前にファイル名をよく確認するとよいだろう。

　また2つ目の脆弱性は、「Yahoo!メッセンジャー」のインストールフォルダになんらかの方法で“ping.exe”というファイルが置かれると、本ソフトのサウンド設定画面を表示した際に任意のコードが実行されるという。ただし本脆弱性の影響を受けるのは、本ソフトのインストールフォルダが“Program Files”以外のときのみだという。“Program Files”フォルダ以外に本ソフトをインストールしている人は、“Program Files”フォルダにインストールし直すことをお勧めする。

□Secunia - Advisories - Yahoo! Messenger File Transfer Filename Spoofing
http://secunia.com/advisories/13712/
□Secunia - Advisories - Yahoo! Messenger Audio Setup Wizard Privilege Escalation
http://secunia.com/advisories/11815/
□Yahoo! Messenger（英語版配布サイト）
http://messenger.yahoo.com/
□Yahoo!メッセンジャー - メッセンジャーで友だちとチャットしよう！（日本語版配布サイト）
http://messenger.yahoo.co.jp/
□窓の杜 - Yahoo!メッセンジャー
http://www.forest.impress.co.jp/lib/inet/msgchat/messanger/yahoomssngr.html

（中井 浩晶）