Yahoo! Messenger inciampa in un ActiveX

Yahoo! Messenger inciampa in un ActiveX

Il portalone ha dovuto correggere una vulnerabilità di sicurezza del proprio instant messenger che in alcuni casi poteva mettere a serio rischio la sicurezza degli utenti. Il punto debole era un controllo ActiveX
Il portalone ha dovuto correggere una vulnerabilità di sicurezza del proprio instant messenger che in alcuni casi poteva mettere a serio rischio la sicurezza degli utenti. Il punto debole era un controllo ActiveX


Copenhagen – La società di sicurezza danese Secunia ha recentemente avvisato gli utenti che la versione per Windows di Yahoo! Messenger, diffuso programma per la messaggistica istantanea, contiene un problema di sicurezza che, in alcuni casi, può consentire ad un aggressore di eseguire del codice da remoto.

In un avviso di sicurezza Secunia ha spiegato che la vulnerabilità consiste in un buffer overrun contenuto all’interno del file yauto.dll , un controllo ActiveX che Yahoo! chiama “Ymsg Control Update”. La falla, scoperta nella versione 5.6.0.1347 di Yahoo! Messenger, sembra interessare anche tutte le versioni precedenti.

Per sfruttare la debolezza un cracker deve confezionare un pagina Web ad hoc e indurre un utente di Windows ad aprirla con Internet Explorer: l’aggressore può essere in grado di sconnettere l’utente dal network di instant messaging, mandare in crash il browser e, in taluni casi, eseguire del codice sulla macchina locale. Gli esperti sostengono che l’exploit può anche essere automatizzato attraverso la creazione di un worm.

Sebbene Secunia attribuisca alla vulnerabilità un grado di rischio “highly critical”, in un comunicato Yahoo! ha sottolineato come questo problema affligga “solo una piccola percentuale degli utenti di Yahoo! Messenger”, ossia coloro che hanno cambiato il livello di sicurezza predefinito di IE da “medio” a “basso”.

Ieri Yahoo ha rilasciato un versione aggiornata del proprio client di instant messaging, scaricabile qui , che risolve il problema di sicurezza. Nonostante Secunia sostenga di aver notificato il bug a Yahoo! oltre un mese fa, quest’ultima afferma di averne appreso l’esistenza solo dopo che la società di sicurezza, pochi giorni fa, ha reso la cosa di pubblico dominio. Yahoo! sostiene che l’indirizzo e-mail corretto per inviarle segnalazioni di questo tipo è security@yahoo-inc.com.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
5 dic 2003
Link copiato negli appunti