Yahoo Messenger: новые критические уязвимости
Исследователи компании eEye Digital Security сообщают о обнаружении в IM-клиенте Yahoo Messenger многочисленных уязвимостей, которые могут использоваться хакерами для удаленного запуска произвольного кода. Выявленным уязвимостям присвоен рейтинг "high", Yahoo была уведомлена о них 5 июня. Случаи эксплуатации обнаруженных ошибок пока не зарегистрированы.
По словам eEye, сейчас под угрозой находятся пользователи версий 8.x Yahoo Messenger. Марк Мэйффрет (Marc Maiffret), директор по технологиям eEye, заявил, что компания не собирается публично раскрывать какие-либо технические подробности уязвимостей. Во всяком случае до тех пор, пока они не будут устранены. Такое решение eEye можно только приветствовать. Не секрет, что некоторые исследователи предпочитают публично раскрывать данные об ошибках, даже не сообщая о них компании-разработчику приложения.
Более разговорчивой оказалась компания Secunia, сообщившая подробности о нескольких уязвимостях. Первая из них касается использования компонента ActiveX в Yahoo Webcam Upload. Хакеры могут использовать файл "ywcupl.dll" для переполнения буфера обмена. Вторая ошибка, затрагивающая ActiveX в Yahoo Webcam Viewer ("ywcvwr.dll"), также может использоваться для переполнения буфера обмена. По словам Yahoo, работа по устранению уязвимостей уже ведется.© TechLabs