ITmedia エンタープライズ:Yahoo!メールの脆弱性突く新ワーム

ずきん日記から。これの話。<img> の onload をトリガに JavaScript を発動。

関連: Yahoo!メールの脆弱性を突く“ゼロデイ”ウイルス出現,メールを開くだけで感染:ITpro

Yahoo!メールのユーザーは,ウイルス対策ソフトの利用に併せて,見慣れない相手からのメールは開かないようにして感染を防ぎたい。ウイルス本体(スクリプト)はセキュリティ関連のメーリング・リストなどで公開されているので,脆弱性が修正されるまでは,一部だけを改変した変種(亜種)ウイルスが出現する可能性は高い。このため,件名が「New Graphic Site」以外のメールについても注意する必要がある。

これは、Webメールが抱える宿命ですね。けっこう Web メールって頻繁に XSS が見つかってますし。あと、今回の Yahoo! でのウイルス(という言い方には個人的には強い違和感を感じる)では、JavaScript でアドレス帳を走査してメールを拡散しているので、「見慣れない相手からのメールは開かない」という対策だけでは防げないです。