『Yahoo! Mail』にクロスサイト スクリプティングの脆弱性

近ごろ Yahoo! が頭を悩ませているのは、従業員と怒れる株主の追及をいかにして切り抜けるかだけではない。

同社は現在、経営方針をめぐる戦いだけでなく、セキュリティの脆弱性の問題とも戦っている。

オンライン Eメールサービス『Yahoo! Mail』にクロスサイト スクリプティング (XSS) の脆弱性が存在したことを Yahoo! は認めた。

XSS 問題は、Web ベースのアプリケーションに存在する脆弱性のなかで最も一般的、かつ危険度の高い脆弱性の1つで、攻撃者がユーザーから情報を盗んだり、ユーザーのマシンを悪意あるコードに感染させたりする危険性がある。

セキュリティベンダの Cenzic でマーケティング担当バイスプレジデントを務める Mandeep Khera 氏は取材に応じて、「Cenzic の CIA (Cenzic Intelligent Analysis) Research Lab は5月23日、Yahoo! に (同脆弱性のことを) 通知した」と語っている。

Yahoo! は問題を調査して、重大な脆弱性であることを確認するとすみやかに対策に取りかかり、6月13日には同脆弱性の修正を完了した。

Cenzic はさらに時間をかけて調査し、Yahoo! がこの問題を公式発表する前にパートナーのサーバーを含めた同社のすべてのサーバーについて、セキュリティのアップデートを行なったことを確認した。

Yahoo! の広報担当者 Kelley Podboy 氏は取材に対して、Cenzic から報告のあった XSS 問題が実際に存在し、その問題はすでに解決されたことを認めた。Yahoo! は、Cenzic から連絡があるまで同脆弱性の存在に気づいていなかったという。

「今回 Cenzic は、われわれが問題を迅速に解決できるように、責任ある態度で Yahoo! に問題について直接連絡してくれた」と、Podboy 氏は述べた。

Yahoo! によると、今回の XSS 問題で影響を受けたり被害に遭ったりしたユーザーはいないという。

今回の XSS 脆弱性問題は、すでにオンライン アプリケーションで統合されている Yahoo! Mail と『Yahoo! Messenger』の双方に関係する。同 XSS 脆弱性問題に関する Cenzic の説明によると、チャット中に、攻撃者は自分のステータスを「見えない」状態にし、ユーザーのチャットタブに「オフライン」マークを出させることができるという。

Cenzic のセキュリティ警告は、次のように説明している。「攻撃者は同脆弱性を利用してステータスを変更しておき、悪意あるコードを含むカスタムメッセージを『オンライン』になったことを示すステータス メッセージの形にして送信できる。するとそのコードが標的にされたマシン上で Yahoo! Mail の流れにしたがって実行される」