公開日:2002/11/19 最終更新日:2002/11/19

JVNCA-2002-16
Yahoo! Messenger に複数の脆弱性

概要

Microsoft Windows 版 Yahoo! メッセンジャーのバージョン 5,0,0,1064 およびそれ以前のバージョンには、複数の脆弱性があります。
結果として、遠隔から第三者がユーザの権限で任意のコードを実行する可能性があります。
なお、日本語版 Yahoo! メッセンジャーについては、正式版 (build 850e) およびベータ版 (build 1090a) ともに、この脆弱性が存在しないことが報告されています。

影響を受けるシステム

詳細情報

想定される影響

遠隔から第三者が Yahoo! Messenger を利用しているユーザの権限で任意のコードを実行する可能性があります。

対策方法

ベンダ情報

ベンダ リンク
富士通 CA-2002-16に対する富士通の情報
富士通 CA-2002-16に対するSolaris OEの情報

参考情報

  1. CERT Vulnerability Note VU#137115
    Yahoo! Messenger contains a buffer overflow in the URI handler
  2. CERT Vulnerability Note VU#172315
    Yahoo! Messenger "addview" function allows for the automatic execution of malicious script contained in web pages
  3. CERT Vulnerability Note VU#393195
    Yahoo! Messenger allows arbitrary users to be added to buddy list without proper authorization
  4. CERT Vulnerability Note VU#419419
    Yahoo! Messenger contains buffer overflow in "message" field
  5. CERT Vulnerability Note VU#755755
    Yahoo! Messenger contains a buffer overflow in "set_buddygrp" when adding users to a buddy list via the web
  6. CERT Vulnerability Note VU#887319
    Yahoo! Messenger contains buffer overflow in "IMvironment" field
  7. CERT Vulnerability Note VU#952875
    Yahoo! Messenger is vulnerable to DoS via multiple messages from spoofed names
  8. ISS X-Force Database: yahoo-messenger-message-bo (8264)
    Yahoo! Messenger message field buffer overflow
  9. ISS X-Force Database: yahoo-messenger-imvironment-bo (8265)
    Yahoo! Messenger IMvironment buffer overflow
  10. ISS X-Force Database: yahoo-messenger-username-spoof (8267)
    Yahoo! Messenger could allow an attacker to spoof usernames
  11. V-STAF: yahoo-messenger-ymsgr-bo (9183)
    Yahoo! Messenger の ymsgr: プロトコルにおける関数呼び出しのバッファオーバフロー
  12. V-STAF: yahoo-messenger-script-injection (9184)
    Yahoo! Messenger における ymsgr:addview? URL を用いたスクリプト挿入
  13. LAC
    CERT Advisory CA-2002-16 Multiple Vulnerabilities in Yahoo! Messenger [翻訳版]

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT JPCERT-WR-2002-2201
JPCERT/CC REPORT 2002-06-12
CERT Advisory CERT Advisory CA-2002-16
Multiple Vulnerabilities in Yahoo! Messenger
CPNI Advisory
TRnotes
CVE CAN-2002-0031
VU#137115
JVN iPedia