Yahoo! Messenger inciampa in un ActiveX

Il portalone ha dovuto correggere una vulnerabilitÓ di sicurezza del proprio instant messenger che in alcuni casi poteva mettere a serio rischio la sicurezza degli utenti. Il punto debole era un controllo ActiveX

Copenhagen - La societÓ di sicurezza danese Secunia ha recentemente avvisato gli utenti che la versione per Windows di Yahoo! Messenger, diffuso programma per la messaggistica istantanea, contiene un problema di sicurezza che, in alcuni casi, pu˛ consentire ad un aggressore di eseguire del codice da remoto.

In un avviso di sicurezza Secunia ha spiegato che la vulnerabilitÓ consiste in un buffer overrun contenuto all'interno del file yauto.dll, un controllo ActiveX che Yahoo! chiama "Ymsg Control Update". La falla, scoperta nella versione 5.6.0.1347 di Yahoo! Messenger, sembra interessare anche tutte le versioni precedenti.

Per sfruttare la debolezza un cracker deve confezionare un pagina Web ad hoc e indurre un utente di Windows ad aprirla con Internet Explorer: l'aggressore pu˛ essere in grado di sconnettere l'utente dal network di instant messaging, mandare in crash il browser e, in taluni casi, eseguire del codice sulla macchina locale. Gli esperti sostengono che l'exploit pu˛ anche essere automatizzato attraverso la creazione di un worm.
Sebbene Secunia attribuisca alla vulnerabilitÓ un grado di rischio "highly critical", in un comunicato Yahoo! ha sottolineato come questo problema affligga "solo una piccola percentuale degli utenti di Yahoo! Messenger", ossia coloro che hanno cambiato il livello di sicurezza predefinito di IE da "medio" a "basso".

Ieri Yahoo ha rilasciato un versione aggiornata del proprio client di instant messaging, scaricabile qui, che risolve il problema di sicurezza. Nonostante Secunia sostenga di aver notificato il bug a Yahoo! oltre un mese fa, quest'ultima afferma di averne appreso l'esistenza solo dopo che la societÓ di sicurezza, pochi giorni fa, ha reso la cosa di pubblico dominio. Yahoo! sostiene che l'indirizzo e-mail corretto per inviarle segnalazioni di questo tipo Ŕ security@yahoo-inc.com.
TAG: sicurezza
14 Commenti alla Notizia Yahoo! Messenger inciampa in un ActiveX
Ordina
  • e possibile che il primo tontolone che sa usare una tastiera deve trovarsi in diritto di criticare qualunque cosa, pur non sapendo un tubbo.


    >ActiveX si è rivelato essere praticamente la causa di tutti i >mali di Windows negli ultimi tempi, RPC a parte!

    ma dove ma quando, sai cosa sono li hai usati programmati, non credo, sono una delle migliori tecniche per riutilizzare a livello binario il codice, ma cosa bisogna dire a gente che e pronta a reinventarela ruota di continuo.
    poi l'rpc e ed e usato da decine di so e comunque in tutte ha presentato problemi, quindi limitarsi a win e solo sintomo della tua ignoranza


    >Bachi, worm, dialer... tutto viaggia attraverso questa >mirabolante tecnologia, al solito sviluppata fuori standard >dai geniali programmatori di Redmond.

    ma dove ma quando, disabilita l'esecuzione degli activex in ie e vedrai che nessun baco, worm ecc... ti mordera le pudenda, ma forse e chiedere troppo togliere un ckech ad un ignurant come te, oppure a decidere di usare un buon antivirus.



    >Io mi chiedo cosa li spinga a perseverare...

    tenendo conto che la MS da un pezzo non sviluppa più per la tecnologia activex, ti ricorda niente .net assembly ecc..., in questo caso l'activex chi lo ha sviluppato la MS?


    >Utenti e programmatori di Windows, vorrei porvi una >domanda senza malizia, solo epr rendermi conto: ma >ActiveX serve ogni tanto a qualcosa, si usa in ambito >professionale, o l'idea più brutta mai avuta da Microsoft >dopo l'interfaccia grafica di XP (su questa non transigo, se >a qualcuno piace si faccia vedere da un medico).

    IGNURANT rileggi quello che hai scritto e pentiti troll della malora.
    non+autenticato

  • - Scritto da: Anonimo
    > e possibile che il primo tontolone che sa
    > usare una tastiera deve trovarsi in diritto
    > di criticare qualunque cosa, pur non sapendo
    > un tubbo.

    [CUT]

    Ehm, prima affermi che i controlli ActiveX sono uno dei migliori metodi per riutilizzare il codice binario senza "reinventare ogni volta la ruota", subito dopo pero' affermi che per navigare sicuro sul web e' meglio disattivarne la gestione nel browser. Mi sembra una contraddizione.

    Salutoni da GiGiO
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > e possibile che il primo tontolone che sa
    > > usare una tastiera deve trovarsi in
    > diritto
    > > di criticare qualunque cosa, pur non
    > sapendo
    > > un tubbo.
    >
    > [CUT]
    >
    > Ehm, prima affermi che i controlli ActiveX
    > sono uno dei migliori metodi per
    > riutilizzare il codice binario senza
    > "reinventare ogni volta la ruota", subito
    > dopo pero' affermi che per navigare sicuro
    > sul web e' meglio disattivarne la gestione
    > nel browser. Mi sembra una contraddizione.


    un conto e non usare gli activex nelle pagine web (che io comunque utilizzo profiquamente per pagine intranet, permettono di fare cose incredibili e permettendo adegua sicurezza usando le zone ) scaricati da un ambiente insicuro come il web, altro e non impiegarli per applicazioni desktop, tenendo conto che la quasi totalita dei programmi per win e componentizzato in componenti activex, che oltre al riutilizzo del codice permettono di eseguire modifiche ad un componente senza dover ricompilare l'intera applicazione.
    (e si basta alle ore di compila linare)
    > Salutoni da GiGiO

    GiGio sempre per rimanere in tema anche per te vale la prima parte del post che qui riporto

    > e possibile che il primo tontolone che sa
    > > usare una tastiera deve trovarsi in
    > diritto
    > > di criticare qualunque cosa, pur non
    > sapendo
    > > un tubbo.
    non+autenticato

  • - Scritto da: Anonimo
    >
    > GiGio sempre per rimanere in tema anche per
    > te vale la prima parte del post che qui
    > riporto
    >
    > > e possibile che il primo tontolone che sa
    > > > usare una tastiera deve trovarsi in
    > > diritto
    > > > di criticare qualunque cosa, pur non
    > > sapendo
    > > > un tubbo.

    Guarda che "tubbo" non esiste, si dice "tubo". E il bello è che dai dell'ignorante agli altri. Sei solo un trollone saccente.

    Salutoni da GiGiO
    non+autenticato
  • - Scritto da: Anonimo
    >
    > Guarda che "tubbo" non esiste, si dice
    > "tubo". E il bello è che dai dell'ignorante
    > agli altri. Sei solo un trollone saccente.
    >
    > Salutoni da GiGiO

    Guarda GiGiO che "tubbo" (è scappata una "b" di troppo, a volte capita...) non è mica la peggiore che ha scritto: ha anche scritto "profiquo" anziché "proficuo". Quest'ultima è un'ignorantata bella e buona!
    :|

    http://demauroparavia.it/87386

    Saluti

    non+autenticato

  • - Scritto da: Anonimo

    [CUT]

    > Guarda GiGiO che "tubbo" (è scappata una "b"
    > di troppo, a volte capita...) non è mica la
    > peggiore che ha scritto: ha anche scritto
    > "profiquo" anziché "proficuo". Quest'ultima
    > è un'ignorantata bella e buona!
    > Deluso
    >
    > http://demauroparavia.it/87386
    >
    > Saluti

    Vero, ma non volevo infierireOcchiolino

    Salutoni da GiGiO
    non+autenticato

  • Sicuramente nn ci sarebbero queste preuccupazioni passando a Linux...

    Sappiamo bene che i software fatti da Redmond sono buggati ma credo che nn sono proprio le ActiveX la peggiore invenzione Microsoft visto che sono molto flessibili...


    Byz Spierpa89.net
    non+autenticato
  • molti sostengono che windows sia facile da usare. Se così fosse, l'activex che ad altro non serve se non a foraggiare, come dicono sotto, i produttori di antivirus, sarebbe disabilitato per default. Lo spiegate voi alla casalinga di voghera che prima di connettersi ad internet lo deve disabilitare?
    non+autenticato

  • - Scritto da: Anonimo
    > molti sostengono che windows sia facile da
    > usare. Se così fosse, l'activex che ad altro
    > non serve se non a foraggiare, come dicono
    > sotto, i produttori di antivirus, sarebbe
    > disabilitato per default. Lo spiegate voi
    > alla casalinga di voghera che prima di
    > connettersi ad internet lo deve
    > disabilitare?

    Looool...
    La casalinga di Voghera... SCIURA MARIAAAAAAAAA!
    KatiArredamenti rules!
    Se vi capita di vederli, fate caso all'imbarazzo che prova il povero figlio... da psicanalisi!
  • ActiveX si è rivelato essere praticamente la causa di tutti i mali di Windows negli ultimi tempi, RPC a parte!
    Bachi, worm, dialer... tutto viaggia attraverso questa mirabolante tecnologia, al solito sviluppata fuori standard dai geniali programmatori di Redmond.
    Io mi chiedo cosa li spinga a perseverare...
    Utenti e programmatori di Windows, vorrei porvi una domanda senza malizia, solo epr rendermi conto: ma ActiveX serve ogni tanto a qualcosa, si usa in ambito professionale, o l'idea più brutta mai avuta da Microsoft dopo l'interfaccia grafica di XP (su questa non transigo, se a qualcuno piace si faccia vedere da un medico).


  • - Scritto da: Shurizen
    ma ActiveX serve ogni tanto
    > a qualcosa, si usa in ambito professionale,
    > o l'idea più brutta mai avuta da Microsoft
    > dopo l'interfaccia grafica di XP (su questa
    > non transigo, se a qualcuno piace si faccia
    > vedere da un medico).

    Serve a far vendere gli antivirus e tutto il sw commerciale che win necessita per poter andare, che ti credi, che uncle bill ha fatto i soldi vendendo roba funzionante?
    non+autenticato

  • - Scritto da: Shurizen
    > ActiveX si è rivelato essere praticamente la
    > causa di tutti i mali di Windows negli
    > ultimi tempi, RPC a parte!
    > Bachi, worm, dialer... tutto viaggia
    > attraverso questa mirabolante tecnologia, al
    > solito sviluppata fuori standard dai geniali
    > programmatori di Redmond.
    > Io mi chiedo cosa li spinga a perseverare...
    > Utenti e programmatori di Windows, vorrei
    > porvi una domanda senza malizia, solo epr
    > rendermi conto: ma ActiveX serve ogni tanto
    > a qualcosa, si usa in ambito professionale,
    > o l'idea più brutta mai avuta da Microsoft
    > dopo l'interfaccia grafica di XP (su questa
    > non transigo, se a qualcuno piace si faccia
    > vedere da un medico).

    Be la radice del nome (activ) dice tutto! come si fa' a parare i virus in un sistema in cui i virus sono un pezzo della "architettura" ?A bocca aperta
    non+autenticato
  • Quotare mai,eh?
    non+autenticato
  • > Utenti e programmatori di Windows, vorrei
    > porvi una domanda senza malizia, solo epr
    > rendermi conto: ma ActiveX serve ogni tanto
    > a qualcosa, si usa in ambito professionale,

    si, ne hanno fin abusato in molte aziende

    > o l'idea più brutta mai avuta da Microsoft
    > dopo l'interfaccia grafica di XP (su questa
    > non transigo, se a qualcuno piace si faccia
    > vedere da un medico).

    sei un Troll
    non+autenticato