Yahoo! Widgets: corretta potenziale falla

La nuova versione 4.0.5 di Yahoo! Widgets per Windows fixa una vulnerabilità critica.
La presenza di versioni precedenti del software puo’ essere sfruttata per infettare gli utenti Internet Explorer che visitano pagine web manipolate con codice malevole.
Stando alle ricerche effettuate da Secunia, si verificherebbe un buffer overflow nel controllo ActiveX YPD (YPPCTL.ddl) se alla funzione GetComponentVersion() viene passato un parametro di dimensione superiore a 512 caratteri.
Secunia ha classificato il problema come “highly critical”.

Nonostante Yahoo! Widgets indichi in maniera automatica la disponibilità di nuove versioni, gli utenti devono scaricare e installare “manualmente” il nuovo pacchetto.
Stando al comunicato di Yahoo! tutte le versioni del software scaricate in data precedente al 20 luglio contengono il controllo ActiveX vulnerabile.
Aggiornamento ultra-consigliato!

LINKS:

  • Yahoo! Widgets YDP ActiveX Control Buffer Overflow Vulnerability, advisory su Secunia
  • About the July 24, 2007 Security Update, comunicato di Yahoo
  • Yahoo fixes security vulnerability in Widgets package, news by Heise-Security
  • Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *