Yahoo Messenger の未パッチの脆弱性により、攻撃者はユーザーのステータス メッセージを変更したり、その他の不正な操作を実行したりすることが可能となり、悪意のあるリンクを多数のユーザーにスパム送信する恐れがあります。
この脆弱性は、ウイルス対策ベンダーの BitDefender のセキュリティ研究者が、Yahoo Messenger の異常な動作に関する顧客からの報告を調査しているときに発見されました。
この欠陥はアプリケーションのファイル転送 API (アプリケーション プログラミング インターフェイス) に存在するようで、攻撃者は不正なリクエストを送信して、被害者との操作なしにコマンドを実行できるようになります。
「攻撃者は50行未満のコードでスクリプトを記述し、YIMプロトコル経由で被害者に送信されるメッセージを改ざんすることができます」と、ビットディフェンダーの電子脅威分析および通信スペシャリスト、ボグダン・ボテザトゥ氏は述べた。
「ステータスの変更は、攻撃者が悪用できる手段の一つに過ぎないようです。現在、他にどのようなことが実行できるか調査中です」と彼は付け加えた。
被害者はステータスメッセージが変わったことに気付かない可能性が高く、タブでの会話をサポートするYahoo!メッセンジャーのバージョン11.5を使用している場合は、不正なリクエストに気付かない可能性もあるとボテザトゥ氏は述べた。
この脆弱性を悪用した攻撃者は、特定の Web サイトにトラフィックを誘導してアフィリエイト マーケティング スキームを通じて収益を得たり、ドライブバイ ダウンロード ページを指す悪意のあるリンクをスパムしたりすることができます。
ドライブバイダウンロード攻撃は、Java、Flash Player、Adobe Reader などのブラウザプラグインの未修正の脆弱性を悪用するもので、現在マルウェアを配布する主な方法の 1 つです。
ステータスメッセージに含まれるリンクは、被害者の友人宛てであるため、クリック率が高い傾向があります。つまり、このようにスパムされたURLは、被害者の友人のほとんどによってクリックされることになる、とBitDefenderの研究者は述べています。
ウイルス対策ベンダーによると、Yahooは適切なチャネルを通じてこの脆弱性について通知を受けたとのことだ。しかし、IDGからのコメント要請にはすぐには応じなかった。
この脆弱性が修正されるまで、ユーザーはYahoo! MessengerでMessengerリストに登録されていないユーザーを無視するように設定することで、自身を守ることができます。ただし、このオプションでは、現在の連絡先からの攻撃を防ぐことはできません。
