Update urgente per Yahoo! Messenger

Pubblicata una release aggiornata del client di instant messaging che corregge due gravi vulnerabilità legate ad altrettanti controlli ActiveX. L'aggiornamento è vivamente raccomandato
Pubblicata una release aggiornata del client di instant messaging che corregge due gravi vulnerabilità legate ad altrettanti controlli ActiveX. L'aggiornamento è vivamente raccomandato

La scorsa settimana eEye Digital Security ha segnalato a Yahoo! la presenza di due pericolose vulnerabilità di sicurezza nel suo diffuso client di instant messaging per Windows. A meno di 24 ore di distanza, su Internet sono apparsi gli exploit delle due falle.

I problemi sono causati da un errore di buffer overflow annidato in due controlli ActiveX distribuiti insieme a Yahoo! Messenger 8 per Windows: Webcam Upload ( ywcupl.dll ) e Webcam Viewer ( ywcvwr.dll ). In entrambi i casi, un aggressore potrebbe approfittarne per indurre l’utente a visitare una certa pagina web o ad aprire un documento HTML capaci di innescare i bug ed eseguire del codice con gli stessi diritti dell’utente locale.

Le versioni vulnerabili di Yahoo! Messenger sono tutte quelle con versione pari o inferiore a 8.1.0.249 . In questo advisory Yahoo! ha invitato chiunque stia utilizzando una versione di Messenger scaricata prima dell’8 giugno ad aggiornare quanto prima il programma (la pagina italiana per il download è qui ).

Secunia ha classificato la debolezza con il massimo livello di rischio, extremely critical . Sugli exploit della falla si veda questo articolo di Internet Storm Center.

Link copiato negli appunti

Ti potrebbe interessare

10 06 2007
Link copiato negli appunti