Yahoo! Messenger inciampa in un ActiveX

Il portalone ha dovuto correggere una vulnerabilità di sicurezza del proprio instant messenger che in alcuni casi poteva mettere a serio rischio la sicurezza degli utenti. Il punto debole era un controllo ActiveX


Copenhagen – La società di sicurezza danese Secunia ha recentemente avvisato gli utenti che la versione per Windows di Yahoo! Messenger, diffuso programma per la messaggistica istantanea, contiene un problema di sicurezza che, in alcuni casi, può consentire ad un aggressore di eseguire del codice da remoto.

In un avviso di sicurezza Secunia ha spiegato che la vulnerabilità consiste in un buffer overrun contenuto all’interno del file yauto.dll , un controllo ActiveX che Yahoo! chiama “Ymsg Control Update”. La falla, scoperta nella versione 5.6.0.1347 di Yahoo! Messenger, sembra interessare anche tutte le versioni precedenti.

Per sfruttare la debolezza un cracker deve confezionare un pagina Web ad hoc e indurre un utente di Windows ad aprirla con Internet Explorer: l’aggressore può essere in grado di sconnettere l’utente dal network di instant messaging, mandare in crash il browser e, in taluni casi, eseguire del codice sulla macchina locale. Gli esperti sostengono che l’exploit può anche essere automatizzato attraverso la creazione di un worm.

Sebbene Secunia attribuisca alla vulnerabilità un grado di rischio “highly critical”, in un comunicato Yahoo! ha sottolineato come questo problema affligga “solo una piccola percentuale degli utenti di Yahoo! Messenger”, ossia coloro che hanno cambiato il livello di sicurezza predefinito di IE da “medio” a “basso”.

Ieri Yahoo ha rilasciato un versione aggiornata del proprio client di instant messaging, scaricabile qui , che risolve il problema di sicurezza. Nonostante Secunia sostenga di aver notificato il bug a Yahoo! oltre un mese fa, quest’ultima afferma di averne appreso l’esistenza solo dopo che la società di sicurezza, pochi giorni fa, ha reso la cosa di pubblico dominio. Yahoo! sostiene che l’indirizzo e-mail corretto per inviarle segnalazioni di questo tipo è security@yahoo-inc.com.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Peccato
    Intendo dire peccato che i Pentium M siano "Palladium compliant" (come i nuovi AMD a 64 bit) perché altrimenti sarebbero dei processori veramente interessanti. Come rapporto frequenza-efficienza sono migliori dei Pentim IV.SalutiProspero
  • Anonimo scrive:
    Risultato dell'incrocio
    un 386
    • Anonimo scrive:
      Re: Risultato dell'incrocio
      - Scritto da: Anonimo
      un 386esagerzioni inopportune, che amd faccia buoni processore e intel abbia in passato fatto uscre processori non all'altezza e vero, ma non sono d'accordo che sia un brutto processoree anche i celerona ttuali sono poi dei p4 conmeno cache e FSB a solo 400 mhz
      • avvelenato scrive:
        Re: Risultato dell'incrocio
        - Scritto da: Anonimo

        - Scritto da: Anonimo

        un 386

        esagerzioni inopportune, che amd faccia
        buoni processore e intel abbia in passato
        fatto uscre processori non all'altezza e
        vero, ma non sono d'accordo che sia un
        brutto processoree anche i celerona ttuali
        sono poi dei p4 conmeno cache e FSB a solo
        400 mhzintanto i celeron attuali vanno davvero lenti e costano uno sproposito se rapportati agli amd di fascia mediobassomedio insomma quella lì.
Chiudi i commenti