La scorsa settimana eEye Digital Security ha segnalato a Yahoo! la presenza di due pericolose vulnerabilità di sicurezza nel suo diffuso client di instant messaging per Windows. A meno di 24 ore di distanza, su Internet sono apparsi gli exploit delle due falle.
I problemi sono causati da un errore di buffer overflow annidato in due controlli ActiveX distribuiti insieme a Yahoo! Messenger 8 per Windows: Webcam Upload ( ywcupl.dll ) e Webcam Viewer ( ywcvwr.dll ). In entrambi i casi, un aggressore potrebbe approfittarne per indurre l’utente a visitare una certa pagina web o ad aprire un documento HTML capaci di innescare i bug ed eseguire del codice con gli stessi diritti dell’utente locale.
Le versioni vulnerabili di Yahoo! Messenger sono tutte quelle con versione pari o inferiore a 8.1.0.249 . In questo advisory Yahoo! ha invitato chiunque stia utilizzando una versione di Messenger scaricata prima dell’8 giugno ad aggiornare quanto prima il programma (la pagina italiana per il download è qui ).
Secunia ha classificato la debolezza con il massimo livello di rischio, extremely critical . Sugli exploit della falla si veda questo articolo di Internet Storm Center.
Ti potrebbe interessare
11 giu 2007