Yahoo! Messenger craccabile da remoto

Il noto programma di instant messaging soffre di una vulnerabilità di sicurezza utilizzabile da un aggressore per eseguire sul computer della vittima del codice dannoso. Disponibile una versione corretta

Roma – Se si è utenti del noto sparamessaggini di Yahoo! e non lo si è aggiornato da almeno tre settimane, ora c’è un buon motivo per farlo. Yahoo! ha infatti pubblicato un advisory in cui avverte dell’esistenza, nel proprio Messenger, di una vulnerabilità che potrebbe mettere a serio rischio la sicurezza degli utenti.

La falla consiste in un buffer overflow nel controllo ActiveX utilizzato da Yahoo! Messenger per la gestione delle chat vocali. Un cracker potrebbe sfruttarlo da remoto semplicemente inducendo un utente ad aprire un documento HTML, come una email o una pagina web. Innescando il bug, l’aggressore può essere in grado di mandare in crash l’applicazione ed eventualmente eseguire del codice a propria scelta .

Yahoo! raccomanda agli utenti che hanno una versione di Messenger precedente al 13 marzo 2007 di scaricare l’ultima versione del software , la cui localizzazione italiana è disponibile qui .

Una dettaglata descrizione del problema è stata pubblicata in questo advisory dall’organizzazione Zero Day Initiative.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Opensorcio in ginocchio!
    Non solo Kerberos, anche Apache:Il sito di Forza Italia di Massa si è incautamente affidato ad Apache su Unix, anziché a soluzioni serie come IIS su Windows Server 2003, ed è stato defacciato!http://punto-informatico.it/f/m.aspx?m_id=1948390&m_rid=0http://www.corriere.it/Primo_Piano/Politica/2007/04_Aprile/05/berlusconi_brusca_hacker.shtmlhttp://whois.domaintools.com/forzaitaliamassa.com :DApache, Kerberos, Unix: groviere informatiche! :s :o :|:'( : :p 8) :D
    • Anonimo scrive:
      Re: Opensorcio in ginocchio!
      Ma sei un fine umorista! (rotfl)(rotfl)(rotfl)
    • Anonimo scrive:
      Re: Opensorcio in ginocchio!
      - Scritto da:
      Non solo Kerberos, anche Apache:
      Il sito di Forza Italia di Massa si è
      incautamente affidato ad Apache su Unix, anziché
      a soluzioni serie come IIS su Windows Server
      2003, ed è stato
      defacciato!

      http://punto-informatico.it/f/m.aspx?m_id=1948390&m_rid=0
      http://www.corriere.it/Primo_Piano/Politica/2007/04_Aprile/05/berlusconi_brusca_hacker.shtml
      http://whois.domaintools.com/forzaitaliamassa.com
      :D

      Apache, Kerberos, Unix: groviere informatiche!
      :s :o :|:'( : :p 8)
      :DEhi, qualcuno ci potrebbe anche credere! :D
  • keysersoze scrive:
    I problemi NON sono nel protocollo
    La tagline mi pare fuorviante, e forse questo ha favorito i flame sull'argomento: come descritto nell'articolo, le vulnerabilità sono state individuate nell'IMPLEMENTAZIONE MIT, NON nel design del protocollo (il che sarebbe una rogna ben peggiore per tutti).
  • Anonimo scrive:
    stamattina,prima di legger la notizia..
    stamattina,prima ancora di legger la notizia quindi, Ubuntu mi ha cortesemente informato che erano disponibili degli aggiornamenti,uno dei quali proprio su kerberos.i casi sono due:o PI è lento a pubblicare le notizieo gli sviluppatori di Linux sono aerei a corregger la falle.(newbie)nel frattempo, inizio a segnarmi quanti giorni ci vorranno altrove per riparare il danno...(a tappare gli ani son stati veloci, ma ora son curioso)bye (amiga)(linux)(apple)
    • Anonimo scrive:
      Re: stamattina,prima di legger la notizi
      - Scritto da:
      nel frattempo, inizio a segnarmi quanti giorni ci
      vorranno altrove per riparare il
      danno...
      (a tappare gli ani son stati veloci, ma ora son
      curioso)

      bye
      (amiga)(linux)(apple)eggià ... se no sai l'incremento di vendite della vasella !? (ghost)(ghost)(ghost)
  • Anonimo scrive:
    Il Kerberos di MS è diverso
    Mi sembra che non sia standard, credo che abbia delle differenze su cosa risponde il KDC alle richieste delle session key però non ne sono certo.Non di esprimo sulla sicurezza.
    • Anonimo scrive:
      Re: Il Kerberos di MS è diverso
      L'implementazione M$ di Kerberos NON è affetta da nessuno di questi tre bug !!!La cosa si poteva anche desumere dalle secrezioni di bile sui post dei trollari LINUX, non Te ne sei accorto ?(ghost)
    • Anonimo scrive:
      Re: Il Kerberos di MS è diverso
      - Scritto da:
      Mi sembra che non sia standard, credo che abbia
      delle differenze su cosa risponde il KDC alle
      richieste delle session key però non ne sono
      certo.

      Non di esprimo sulla sicurezza.Premetto che non sono l'apritore del thread.Chissà perchè di fronte ad un'affermazione come quella che ho quotato deve essere bollata come flame...forse il moderatore linaro di oggi ha la coda di paglia.E' UN DATO DI FATTO CHE L'IMPLEMENTAZIONE DI KERBEROS DI MS E' DIVERSA, FORSE NON MIGLIORE, MA DI SICURO NON AFFETTA DA QUESTI BUG!STUDIA MODERATORE, E IMPARA A RICONOSCERE I FLAME VERI.GRAZIE.
  • Anonimo scrive:
    CANE A TRE TESTE AL TAPPETO
    come sopra :'(:'(:'(
  • Anonimo scrive:
    Vogliamo includere anche Linux, prego?
    Kerberos è usato da Samba, il server X e Apache come minimo, vogliamo dirlo o si fa sempre due pesi due misure su P.I.? Scommetto che certe frasi sono scritte apposta per generare post su post (e click su click). :
    • Anonimo scrive:
      Re: Vogliamo includere anche Linux, preg
      - Scritto da:
      Kerberos è usato da Samba, il server X e Apache
      come minimo, vogliamo dirlo o si fa sempre due
      pesi due misure su P.I.? Scommetto che certe
      frasi sono scritte apposta per generare post su
      post (e click su click).
      : utilizzato in numerosi sistemi operativi (inclusi Windows e Mac OS X) quale parte non ti è chiara?
      • Anonimo scrive:
        Re: Vogliamo includere anche Linux, preg
        - Scritto da:

        - Scritto da:

        Kerberos è usato da Samba, il server X e Apache

        come minimo, vogliamo dirlo o si fa sempre due

        pesi due misure su P.I.? Scommetto che certe

        frasi sono scritte apposta per generare post su

        post (e click su click).

        :

        utilizzato in numerosi sistemi operativi
        (inclusi Windows e Mac OS
        X)

        quale parte non ti è chiara?Via hai sparlato di Linux e di P.I. anche oggi contento?Non stritolare lo scroto su
    • Anonimo scrive:
      Re: Vogliamo includere anche Linux, preg
      Linux come lo si intende normalmente non è un sistema operativo, ma una piattaforma. Non facendo parte del kernel, kerberos non si può considerare integrato in Linux, ma nelle singole distribuzioni, ed elencarle tutte sarebbe un po' lunghetto ;-)- Scritto da:
      Kerberos è usato da Samba, il server X e Apache
      come minimo, vogliamo dirlo o si fa sempre due
      pesi due misure su P.I.? Scommetto che certe
      frasi sono scritte apposta per generare post su
      post (e click su click).
      :
      • Anonimo scrive:
        Re: Vogliamo includere anche Linux, preg
        - Scritto da:
        Linux come lo si intende normalmente non è un
        sistema operativonon è vero, linux è un sistema operativo:http://www.linux.org/Linux is a free Unix-type operating system originally created by Linus Torvalse poi nemmeno il linari sanno cosa è linux sono messi maluccio!
        • Anonimo scrive:
          Re: Vogliamo includere anche Linux, preg
          - Scritto da:

          - Scritto da:

          Linux come lo si intende normalmente non è un

          sistema operativo

          non è vero, linux è un sistema operativo:
          http://www.linux.org/
          Linux is a free Unix-type operating system
          originally created by Linus
          Torval

          se poi nemmeno il linari sanno cosa è linux sono
          messi
          maluccio!È semplicemente una questione di punti di vista. Se per sistema operativo intendi anche solo il kernel allora linux è un SO, altrimenti NO.Kerberos NON fa parte del kernel linux. All'utente finale non arriva il singolo kernel, ma una distribuzione completa contenente (qualche volta) kerberos.Si sarebbe potuto scrivere "e molte distribuzioni linux". Ma adesso non facciamone un dramma!
      • Anonimo scrive:
        Re: Vogliamo includere anche Linux, preg
        Ma cerchiamo di essere seri ogni tanto !!!Sarà anche vero che linux non include nel kernel Kerberos, ma quale sistema operativo moderno può prescindere da questo protocollo di autenticazione ?Ah, per la cronaca l'implementazione M$ di Kerboros non è affetta da nessuno di questi 3 bug, e nemmeno di uno molto grosso che fù scoperto un anno fà circa.Insomma, M$ batte MIT 4-0 !!!
        • Anonimo scrive:
          Re: Vogliamo includere anche Linux, preg

          Sarà anche vero che linux non include nel kernel
          Kerberos, ma quale sistema operativo moderno può
          prescindere da questo protocollo di
          autenticazione ?Tantissimi. Più di quanti tu creda.
    • Anonimo scrive:
      Re: Vogliamo includere anche Linux, preg
      - Scritto da:
      Kerberos è usato da Samba, il server X e Apache
      come minimo, vogliamo dirlo o si fa sempre due
      pesi due misure su P.I.? Scommetto che certe
      frasi sono scritte apposta per generare post su
      post (e click su click).
      :Samba lo usa se ne hai bisogno, come Apache del resto. In quel caso, ma solo in quei casi può esser vulnerabile (da valutare ovviamente).Non che in automatico ne sia vulnerabile LINUX.Linux, di per se, è una piattaforma, con un insieme di programmi e demoni, che non impiega necessariamente Kerberos.
    • MeDevil scrive:
      Re: Vogliamo includere anche Linux, preg
      - Scritto da:
      Kerberos è usato da Samba, il server X e Apache
      come minimo, vogliamo dirlo o si fa sempre due
      pesi due misure su P.I.? Scommetto che certe
      frasi sono scritte apposta per generare post su
      post (e click su click).
      :"utilizzato in numerosi sistemi operativi (inclusi Windows e Mac OS X)"Io davo per scontato che si stesse parlando di linux, visto che kerberos viene usato davvero in tante applicazioni linux....Saluti, MeDevil
      • Anonimo scrive:
        Re: Vogliamo includere anche Linux, preg
        Oggi l'update manager di Xubuntu mi ha proposto degli aggiornamenti di Kerberos relativi a queste advisory. Veloci! :)
        • Anonimo scrive:
          Re: Vogliamo includere anche Linux, preg
          - Scritto da:
          Oggi l'update manager di Xubuntu mi ha proposto
          degli aggiornamenti di Kerberos relativi a queste
          advisory. Veloci!
          :)OpensuseUpdater mi ha scaricato l'aggiornamento ieri...forse per questo motivo parlano di Win: quando si dà la notizia la patch per Linux è già bella e pronta..., e spesso già installata
    • Anonimo scrive:
      Re: Vogliamo includere anche Linux, preg
      - Scritto da:
      Kerberos è usato da Samba, il server X e Apache
      come minimo, vogliamo dirlo o si fa sempre due
      pesi due misure su P.I.? Scommetto che certe
      frasi sono scritte apposta per generare post su
      post (e click su click).
      :perchè devi metterci della cattiveria quando magari semplicemente non lo sapevano?
Chiudi i commenti